Bienvenue dans ce guide des acteurs français de la cybersécurité 2017-2018 ! Un guide conçu tel un outil, dont l’objectif est tout à la fois de mettre en valeur le bouillonnant marché de la cybersécurité en France, mais aussi d’aider les entreprises à identifier les solutions et les acteurs qui leur permettront de mettre en place un plan de protection efficace, cohérent et au juste prix. Le tout avec méthode !
Par Jérôme Saiz,
rédacteur en chef du Guide 2017-2018 de la Cybersécurité, consultant en protection des entreprises
Car évidemment, des solutions et des services de cybersécurité de qualité sont un élément indispensable à la protection de l’entreprise. Les fournisseurs présents dans ce guide en apportent d’ailleurs la preuve tout au long de ses pages !
Mais avant de choisir une solution il est nécessaire de faire preuve d’un peu de méthode, et en particulier de savoir tracer son chemin dans les méandres de l’offre. C’est pourquoi nous avons choisi de classer les prestataires que vous trouverez ici non pas juste par ordre alphabétiques ou par grands domaines d’activité, mais aussi selon des catégories très précises et selon une logique “métier” (intégration, conseil, infogérance ou édition de logiciels, par exemple).
Outre ces métiers, nous avons choisi de répartir les offres en fonction de sept temps forts dans le processus de déploiement de la cybersécurité : la phase d’organisation, l’état des lieux, la phase de protection, puis d’exploitation, et enfin l’étape de contrôle. Les habitués ne manqueront d’ailleurs pas de reconnaître ici l’inspiration du modèle Plan-Do-Check-Act (PDCA) que l’on retrouve notamment au coeur de la norme ISO/CEI 27001.
A chacune de ces phases correspondent évidemment des produits, des solutions et des services spécifiques proposés par le marché. L’un des objectifs de ce guide est de vous aider à déterminer le type de solution dont vous avez besoin en fonction de l’étape à laquelle se trouve votre entreprise, pour ensuite identifier aisément les fournisseurs capables de répondre à ces besoins.
ORGANISATION
La phase d’organisation couvre l’élaboration des plans stratégiques et de gouvernance, mais également toutes les actions de mise en conformité, de planification, de sensibilisation du personnel ou d’assurance. Ainsi, le terme “Organisation” s’entend ici non seulement dans le sens de planification (et c’est donc pour cela que nous commençons par elle), mais également dans celui de la définition de processus.
Il s’agit évidemment d’une phase essentielle : il est inutile de démarrer le voyage vers une meilleure (cyber)sécurité si l’on ne décide pas au préalable des règles du jeu, que l’on n’identifie pas les contraintes que l’on se devra de respecter, que l’on ne soit pas au clair sur son niveau de tolérance au risque, et que l’on ne documente pas tout cela de manière claire.
ETAT DES LIEUX
Si l’étape d’organisation permet de décider, l’état des lieux apporte quant à lui les informations nécessaires à cette prise de décision. C’est pourquoi ces deux étapes sont bien souvent concomitantes, les éléments de l’une alimentant la production de l’autre.
“On ne protège pas ce que l’on ne peut voir” : le dicton bien connu du petit monde de la sécurité résume à lui seul pourquoi cette étape est cruciale. C’est ici que l’on va cartographier le réseau, découvrir les actifs de l’entreprise afin de savoir exactement quels systèmes sont exploités, dans quelles conditions, et par quels services… Et une fois découverts, c’est ici également que l’on va les auditer à la recherche de vulnérabilités connues, mener des analyses de risque pour découvrir l’exposition des éléments critiques de l’entreprise, ou encore se préoccuper de la gestion des journaux, une source d’information capitale concernant les attaques et les anomalies, bien souvent sous-exploitée ! La phase d’état des lieux est essentielle et aucun projet de protection ne peut commencer sans une vision claire de ce qui doit être protégé.
PROTECTION
C’est ici le domaine de la protection dite “active”. Sous ce terme nous avons regroupé les solutions et les pratiques destinées à bloquer, à interdire, à empêcher les actes malveillants. C’est pourquoi l’on y retrouve bien entendu les solutions de contrôle d’accès, mais aussi tout ce qui permet de protéger un poste de travail contre les codes malveillants, le réseau contre les trafics suspects, les applications contre les attaques applicatives, ou encore la donnée contre le vol.
Cette phase de protection est probablement la plus visible, et celle où l’on trouvera le plus de solutions. Mais elle ne peut être mise en oeuvre sans que l’on soit passé d’abord par les étapes d’organisation et d’état des lieux, au risque de ne pas savoir réellement ce qui mérite d’être protégé en priorité, ou tout simplement de ne pas avoir connaissance des systèmes qui doivent l’être.
EXPLOITATION
Une fois bien engagé sur la voie de la sécurisation, et maintenant que les solutions de protection sont positionnées aux bons endroits, le travail ne s’arrête pas là pour autant ! Il faut désormais s’assurer que ces solutions sont bien exploitées au quotidien, être en mesure de lever des alertes et d’y réagir correctement. Nous parlons donc ici de supervision continue, bien sûr, mais aussi de la capacité de l’entreprise à collecter et traiter les informations de sécurité (notamment celles issues des solutions déployées à l’étape précédente), ainsi que de réagir aux incidents et mener le cas échéant des investigations numériques.
C’est ici également que se pose la question d’intégrer la sécurité dans les nouvelles méthodes de développement et d’exploitation telles le DevOps.
CONTROLES
Notre dernière étape est celle du contrôle : une fois que le plan est défini (“Organisation”), que le terrain est connu (“Etat des lieux”), que les outils sont positionnés (“Protection”) et correctement exploités (“Exploitation”), il est temps de s’assurer que tout cela reste conforme au plan !
C’est donc le rôle de l’audit que de valider la conformité des observations issues du terrain vis-à-vis de points de contrôles prédéfinis. Cela permet évidement d’identifier les écarts par rapport au plan (à l’état de sécurité désiré), mais aussi de documenter les progrès de la remédiation (par exemple combien de vulnérabilités critiques ont-elles été corrigées depuis le dernier passage de l’analyse de vulnérabilités automatisée ?).
ET L’EXTERNALISATION ?
Nous avons également intégré à cette classification la notion d’infrastructure sécurisée. Bien qu’il ne s’agisse pas d’une étape à part entière, il nous a semblé important d’être en mesure d’identifier les prestataires à même de fournir des services d’infrastructure (hébergement notamment) mettant l’accent sur la sécurité, par opposition à des hébergeurs généralistes. C’est pourquoi vous retrouverez une catégorie “Infrastructure” parmi nos catégories.
Notre matrice
Le marché de la cybersécurité est devenu complexe, et parfois difficile à lire : de grands acteurs ont émergé à la suite de plusieurs phases de consolidation du marché, au point d’offrir une gamme de solutions et de services parfois difficile à appréhender. Dans le même temps, lorsque ces acquisitions ne se sont pas déroulées aussi bien que prévu, les collaborateurs les plus entreprenants des sociétés rachetées ont essaimé et ont créé une multitude de nouveaux acteurs de niche. Ajoutons à cela les tensions liées à la concurrence, qui forcent des intégrateurs à se renforcer sur le conseil, ou inversement, voir des ESN devenir éditeurs de logiciels.
Notre matrice de sélection de l’offre reflète cette complexité, qu’elle tente de rendre lisible. Son objectif est de croiser les modes d’intervention des acteurs de la cybersécurité (le conseil, l’intégration, l’édition de logiciels, la formation, l’infogérance) avec pour chacun d’eux des catégories de produits ou de services très détaillées.
Le résultat est un outil vous permettant de repérer d’un coup d’oeil les offreurs capables d’apporter à la fois du conseil et de l’intégration dans, par exemple, le domaine du contrôle d’accès, tout en étant en mesure de former vos salariés aux tableaux de bord que vous souhaitez mettre en place pour suivre cette activité.
ISO 27001 : l’organisation par excellence
Lorsque l’on aborde la notion d’organisation de la sécurité du système d’information il est impossible de passer à côté de ISO/CEI 27001. Cette norme internationale succède à la norme BS 7799-2 du British Standards Institution. Elle décrit la mise en place d’un système cohérent de gestion de la sécurité de l’information. Elle introduit notamment la notion de cycle perpétuel, commençant par la planification, puis l’exécution, et enchaînant ensuite par une phase de contrôle puis de remédiation, avant de recommencer, l’évolution du contexte ou les écarts constatés exigeant toujours une adaptation du plan.
ISO/CEI 27001 constitue une excellente inspiration pour bâtir une feuille de route de la SSI (inspiration, car il n’est pas nécessaire de suivre la norme à la lettre à moins de vouloir être certifié !)
