Aller au contenu

👋 Présentation de CISO Assistant

ciso-welcome

📔 Introduction à la GRC

Juste avant de rentrer dans le vif du sujet, faisons une rapide introduction à la GRC (pour être honnête j'ai demandé à ChatGPT de me rédiger une bafouille 😄)

La Gouvernance, le Risque et la Conformité (GRC) sont trois piliers essentiels dans la gestion de la cybersécurité au sein des organisations. Voici une explication détaillée de chacun de ces aspects dans le contexte de la cybersécurité :

Gouvernance (G)

La gouvernance en cybersécurité concerne l'ensemble des politiques, des procédures et des structures organisationnelles mises en place pour diriger et contrôler la gestion de la cybersécurité. Elle inclut :

  • Politiques de sécurité : Établissement de règles et de directives pour garantir la sécurité des informations.
  • Rôles et responsabilités : Définition des responsabilités au sein de l'organisation pour assurer une gestion efficace de la cybersécurité.
  • Cadres de contrôle : Utilisation de standards et de frameworks (comme ISO/IEC 27001, NIST Cybersecurity Framework) pour structurer la gestion de la cybersécurité.
  • Supervision et reporting : Mise en place de mécanismes pour surveiller et évaluer régulièrement l'état de la sécurité et en rendre compte aux parties prenantes.

Risque (R)

La gestion des risques en cybersécurité consiste à identifier, évaluer et atténuer les risques liés aux cybermenaces. Cela comprend :

  • Identification des risques : Recensement des actifs critiques et des menaces potentielles.
  • Évaluation des risques : Analyse de la probabilité et de l'impact des menaces sur les actifs.
  • Plan de traitement des risques : Développement et mise en œuvre de mesures pour atténuer les risques identifiés, comme les contrôles techniques, les formations et les plans de réponse aux incidents.
  • Surveillance continue : Surveillance des risques et des menaces pour s'assurer que les mesures de protection restent efficaces et pertinentes.

Conformité (C)

La conformité en cybersécurité concerne l'adhérence aux lois, référentiels, normes et politiques internes qui régissent la protection des informations. Cela inclut :

  • Régulations et lois : Respect de la régulation locale et internationale, comme le Règlement Général sur la Protection des Données (RGPD) en Europe, etc.
  • Normes industrielles : Conformité aux standards de l'industrie comme PCI-DSS pour les transactions par carte bancaire.
  • Audits et certifications : Réalisation d'audits internes et externes pour vérifier la conformité et obtenir des certifications de sécurité (par exemple, ISO/IEC 27001).
  • Politiques internes : Mise en place et respect des politiques de sécurité interne propres à l'organisation.

Importance de la GRC en Cybersécurité

  • Gestion holistique : La GRC permet une approche intégrée pour gérer la cybersécurité, en assurant que les décisions sont alignées avec les objectifs stratégiques de l'organisation.
  • Réduction des risques : Une bonne gouvernance et gestion des risques permettent de minimiser les impacts potentiels des cybermenaces.
  • Respect des régulations : La conformité garantit que l'organisation respecte les exigences légales et réglementaires, évitant ainsi les sanctions et les amendes.
  • Amélioration de la résilience : En intégrant la GRC, les organisations deviennent plus résilientes face aux cyberattaques, grâce à des processus de gestion de risques robustes et une surveillance continue.

Problème

C'est bien beau tout ça mais quand il s'agit de le mettre en place se présente alors à nous l'organisation documentaire s'appuyant essentiellement sur des fichiers "excel". Au final, nous nous retrouvons avec une fragmentation documentaire importante qui peut rapidement devenir ingérable (Dans quel fichier ai-je mis cette information, où se trouve ce fichier, qui peut accéder à ce fichier...). Et ce n'est qu'un des problèmes, puisque d'autres suivront comme les silos entre la GRC et les opérationnels ou comment lié les différents éléments entre eux...

C'est là qu'entre en jeu le logiciel CISO Assistant.

Présentation de CISO Assistant

CISO Assistant est un logiciel libre qui va nous faciliter toutes les opérations de Gouvernance, Risque et Conformité. Il est conçu et distribué par l'entreprise française Intuitem. Ce qui est un avantage pour ceux qui suivent le parcours Cyber Sécurité de l'ANSSI car potentiellement co-finançable pour ceux qui souhaiteraient acheter par exemple du service auprès d'Intuitem.

Le logiciel est tout de même gratuit en mode on-premise. La stratégie commerciale repose quant à elle sur du support, de l'hébergement SaaS et des fonctionnalités du type premium (tarifs). Pour ceux qui ont des finances plus bas que terre, sachez que les fonctionnalités gratuites intégrées de base sont bien fournies.

Installé depuis quelques jours, je suis conquis par sa rapidité de prise en main. Il ne vous exemptera pas complètement des fichiers puisque vous devrez tout de même fournir des preuves concernant les mesures appliquées.

Un des avantages fonctionnel du logiciel est le peu de contraintes. Par exemple, vous pouvez renseigner une mesure dont vous êtes certains de son application sans pour autant devoir fournir obligatoirement de suite la preuve. Le logiciel vous rappellera lors de l'utilisation de sa fonctionnalité X-Rays les incohérences trouvées dans vos évaluations pour chaque projet (preuve non fournie sur la mesure M... par exemple).

Pour les entités qui se lancent enfin dans la gestion de leur SSI, l'outil permet de démarrer avec l'approche par la conformité en proposant un ensemble de framework comme par exemple le Guide l'hygiène informatique de l'ANSSI permettant de lister les exigences du référentiel avec la fonctionnalité audit du logiciel. Il ne vous restera plus alors qu'à préciser votre niveau de conformité et à préciser les mesures appliquées. Et ça c'est génial ! 🎉

audit-anssi

Vous remarquerez le bouton Exporter en haut à droite qui vous permet de fournir des documents auditables (fichier HTML avec intégration des preuves) ou encore un plan d'action.

Pour les entités qui, comme celle où je travaille actuellement, ont déjà établi une analyse de risques sur excel, il suffit d'intégrer les élements. Bon là j'avoue que cela m'a pris quelques heures pour les intégrer manuellement mais sans prise de tête :

  • les actifs primordiaux;
  • les menaces;
  • les scénarios de risque auxquels on associera des actifs et des menaces;
  • la matrice des risques. À noter que des matrices de risques sont fournies clé en main par le logiciel.

Ce temps passé fut un temps bien investi car maintenant il existe une relation entre les différents éléments cités. Si j'avais du faire avec Excel, j'aurai passé beaucoup plus de temps, sans compter les prises de tête avec la sensation désagréable de réinventer la roue.

Une fois votre analyse des risques posée dans le logiciel, ce dernier synthétise tout cela dans deux matrices des risques. Il nous vous reste plus qu'à associer les mesures prises/existantes pour réduire les risques avec comme objectif de ramener les risques résiduels vers la gauche et en bas de la matrice concernée.

Exemple avec une matrice de risques personnalisée sans l'association des mesures appliquées aux risques évalués :

ciso-analyse-risques

L'autre aspect génial de l'outil est la possibilité d'intégrer ses propres modèles (comme les référentiels de menaces, de mesures, d'exigences... ou encore des matrices de risques personnalisées). Par contre faudra passer par du excel. Des exemples se trouvent sur le dépôt Github du logiciel ici

Enfin le logiciel étant collaboratif, vous pouvez intégrer des utilisateurs et leur attribuer des rôles et même les affecter à un tenant particulier. Ah oui, en plus des nombreuses fonctionnalités non abordées, CISO Assistant gère également le multi-tenant 🤩

Pour une présentation plus détaillée des fonctionnalités de CISO Assistant avec des "use case", je ne peux que vous recommander cette vidéo de présentation animée par un des concepteurs de l'application (en plus il est sympa).

Bon après cette longue introduction, voyons comment l'installer.