Comment votre municipalité gère-t-elle les exigences obligatoires de l'IOB, le cadre de référence de la sécurité de l'information pour la gouvernance ? Notre expérience montre que la plupart des municipalités se conforment à l'IOB de manière minimale, juste pour "cocher la case". Cependant, cela laisse votre organisation vulnérable aux Ransomware et autres attaques digitales. Une telle attaque peut causer des dommages considérables. Lisez ici comment mettre en place correctement votre sécurité de l'information et comment Secura peut vous aider.
L'IOB pour les municipalités : Un exercice de remplissage ou vraiment sûr ?
Date:
16 janvier 2023 |
Author(s):
Bram Blaauwendraad - Consultant en sécurité
16 janvier 2023 |
Author(s):
Bram Blaauwendraad - Consultant en sécurité
Exigences supplémentaires
Depuis le 1er janvier 2020, les municipalités néerlandaises sont tenues de se conformer à l'IOB. Ce cadre s'applique à toutes les organisations gouvernementales et impose plus d'une centaine d'exigences supplémentaires en matière de sécurité de l'information en plus des mesures ISO/IEC 27002, en fonction du niveau de sécurité dit de base (BBN 1, 2 ou 3) que l'organisation doit respecter. L'IOB suit le principe "appliquer ou expliquer", selon lequel toutes les normes doivent être respectées, sauf si l'organisation a une raison justifiée de ne pas le faire.
Notre expérience montre que si les organisations se conforment souvent à l'IOB dans la pratique, elles ne sont pas réellement sûres. L'IOB est mis en œuvre avec un minimum d'accomplissement, juste pour "cocher la case". Par exemple, l'enregistrement est collecté, mais n'est pas suivi d'effets, et de nombreux documents de politique générale restent simplement sur papier. Cette situation est quelque peu compréhensible, car la conformité à l'IOB est une obligation légale, mais il n'existe pas encore d'obligation de certification externe. En outre, la mise en œuvre implique naturellement des coûts financiers.
La sécurité digitale
L'exigence de l'IOB a toutefois une bonne raison d'être. Le nombre et la complexité des attaques digitales ont considérablement augmenté ces dernières années. Les attaques par Ransomware sont devenues monnaie courante, et les attaques réussies dues à une résilience digitale insuffisante des municipalités peuvent entraîner une attention médiatique négative, comme on l'a vu avec des municipalités comme Anvers, Buren, et même des conséquences juridiques dans le cas de Hof van Twente (piratée avec le mot de passe "welkom2020").
En outre, "se conformer à l'IOB" signifie également une bonne gestion et peut montrer aux parties prenantes que la sécurité digitale est prise au sérieux. Le défi consiste donc à se conformer à l'IOB en tant que sous-produit d'une politique de sécurité de l'information saine, qui est également conçue de manière pragmatique pour bénéficier d'un soutien suffisant au sein de l'organisation.
Personnes, processus, technologie
Comment mettre en œuvre le BIO de manière pragmatique et pas seulement comme une obligation de conformité ? Selon Bureau Veritas Cybersecurity, il est possible d'y parvenir en examinant de manière critique les personnes, les processus et la technologie :
- Les personnes: La formation de sensibilisation ne doit pas être un fardeau pour le personnel, mais peut le transformer en une arme dans la bataille digitale ;
- Les processus: Les politiques et les processus doivent permettre de comprendre et de contrôler la sécurité de l'information ;
- Technologie: Les mesures de sécurité et la recherche devraient renforcer la résilience digitale de l'organisation.
En tant qu'expert indépendant en cybersécurité, Secura peut vous assister sur tous les aspects de la norme ISO/IEC 27002 et des mesures additionnelles BIO afin de rendre la maturité transparente et d'aider à les mettre en œuvre efficacement.
Thèmes BIO |
Services Secura |
|---|---|
| Politique d'organisation |
Pour déterminer la position de votre organisation, Secura commence par une Evaluation de maturité en cybersécurité. Contrairement à l'analyse GAP de VNG, qui ne teste que les mesures supplémentaires de l'IOB, Secura évalue la maturité par rapport aux mesures supplémentaires de l'IOB et aux mesures (obligatoires) de l'ISO/IEC 27002 dans un seul rapport complet, étayé par des graphiques. Ensuite, Secura peut vous aider à mettre en place les autres parties de l'IOB par le biais d'un soutien à l'implémentation. Remarque : le BIO est actuellement basé sur la version 2013 de la norme ISO/IEC 27002, mais il sera bientôt mis à jour. Secura peut également évaluer l'organisation par rapport à la norme ISO27002:2022 afin d'éviter des travaux et des coûts supplémentaires à l'avenir. |
| Risk Assessment |
Selon l'IOB, la sécurité de l'information dépend de la gestion des risques pour assurer la protection adéquate des informations et des systèmes d'information dans le contexte et les objectifs de l'organisation. Une analyse complète des risques doit être effectuée, en tenant compte du contexte de l'organisation, de son profil unique et de sa tolérance au risque. Bureau Veritas Cybersecurity offre son soutien par le biais de Risk Assessments à chaque étape du processus d'évaluation des risques : de la méthode d'évaluation des risques à l'analyse des risques et à la hiérarchisation des résultats. |
| Sensibilisation et comportement axés sur l'apprentissage, la motivation et la facilitation |
Le facteur humain est essentiel pour protéger votre organisation et vos assets digitaux. Dans la pratique, nous constatons souvent que les connaissances du personnel n'équivalent pas à la awareness en raison de divers facteurs. Bureau Veritas Cybersecurity propose un programme de sensibilisation à la sécurité et de changement de comportement, ainsi que des services et formations connexes, afin d'accroître la cyber résilience de vos employés. Nous nous concentrons non seulement sur la sensibilisation (connaissances), mais aussi sur l'augmentation de la motivation et une meilleure facilitation de votre organisation. |
| Sécurité technique |
Les attaquants exploitent souvent les vulnérabilités techniques, à la fois pour s'introduire et pour causer un maximum de dégâts. En faisant examiner périodiquement votre réseau, vos systèmes et vos applications par des professionnels, les vulnérabilités peuvent être identifiées et traitées de manière proactive. Les Ransomware sont l'une des plus grandes menaces qui empêchent les municipalités de dormir. La première étape consiste à cartographier l'environnement, ce qui se fait par le biais de la Modélisation des menaces. La sécurité physique de l'environnement peut également être prise en compte. Par la suite, des scans externes sont effectués, suivis par des examens d'applications et des tests d'intrusion internes. Au cours de ces tests, une attention particulière peut être accordée à des aspects tels que les sauvegardes et la vulnérabilité aux Ransomware, en tenant compte des tactiques, techniques et procédures (TTP) des groupes de ransomware modernes. Tout cela est réalisé par des spécialistes de la sécurité du groupe Marché public de Bureau Veritas Cybersecurity, qui connaissent bien les défis uniques du secteur public. |
Secura peut vous aider avec l'IOB mais ne peut pas vous décharger entièrement de cette responsabilité. Le respect de l'IOB nécessite l'implication et l'action de la municipalité elle-même. Dans ses activités quotidiennes, l'organisation doit assumer la responsabilité de l'IOB. Si vous manquez de capacité, notre CISO-as-a-Service pourrait vous intéresser.
Prévenir et guérir
Bureau Veritas Cybersecurity se concentre sur l'évaluation indépendante et le conseil en matière de sécurité de l'information. Cependant, la cybersécurité est un domaine complexe et dynamique, et les attaquants parviennent parfois à s'introduire malgré les efforts déployés. C'est pourquoi vous devez toujours envisager ce scénario, en suivant le principe dit de "l'hypothèse de la brèche". Dans de tels moments, il est vital qu'une organisation dispose d'une capacité de détection suffisante, ainsi que d'experts en sécurité disponibles 24 heures sur 24 et 7 jours sur 7, afin de minimiser l'impact d'une attaque réussie et de prévenir les dommages.
C'est pourquoi Secura collabore avec Eye Security, un prestataire de services de premier plan dans le domaine de la cybersécurité, spécialisé dans la surveillance, l'assurance et la réponse aux incidents. Eye Security fournit une solution complète pour protéger vos systèmes et réseaux et neutralise une cyberattaque en moins de quatre heures.
Les services d'Eye Security et de Bureau Veritas Cybersécurité se complètent, ce qui permet aux municipalités de couvrir une grande partie de leurs défis en matière d'IOB lorsque les deux entreprises sont engagées ensemble. C'est pourquoi nous aimerions dire à toutes les municipalités : bienvenue en 2023 !
Pour plus d'informations sur les services offerts par Eye aux municipalités, veuillez consulter le site suivant.