Petit guide à destination du manager cyber débutant, de l’APT au CPT

Magazine
Marque
MISC
Numéro
129
Mois de parution
septembre 2023
Spécialité(s)


Résumé

Il arrive un jour où l’on franchit le seuil du « management » et où l’on se retrouve à passer plus de temps à gérer des personnes que des programmes. Ce petit guide cherche à accompagner le manager débutant en cybersécurité aux particularités de son nouveau poste.


Body

Introduction

La sécurité des systèmes d’information a cela de particulier qu’on voit peu de néophytes accéder à des postes de management. Par contre, beaucoup de managers en cyber prennent leur fonction avec peu ou pas du tout d’expérience du management. Comme si le management était une extension naturelle quand on sait faire du reverse engineering, exploiter un SIEM ou gérer une crise.

Partant de ce constat, il nous semble intéressant de compiler ici quelques bonnes idées et références intéressantes pour un manager débutant. Dix bonnes pratiques sont ainsi regroupées autour de trois axes : communication & process, people et tech.

Ces règles n’ont pas la prétention d’être exhaustives, mais plutôt de lister des ressources intéressantes et de partager des retours d’expérience et quelques convictions. Elles devront être adaptées à chaque contexte par le lecteur qui pourra s’appuyer dessus pour construire et améliorer son style de management. En outre, ces règles sont dérivées d’une expérience de CERT manager et pourront être extrapolées aux autres domaines de la cybersécurité pour dépasser les exemples donnés.

1. Communication & process

Règle I : Dans le placard les cadavres tu ne cacheras pas

La première mission d’un manager, c’est de faire le lien entre sa hiérarchie et son équipe. Contrairement à un collaborateur, le manager doit retranscrire ce que d’autres ont fait. Et notre premier conseil sera de ne jamais cacher des choses à son responsable. Surtout lorsqu’il s’agit de mauvaises nouvelles qui ne mettraient pas votre équipe en avant. Il est plus important de permettre à l’organisation de progresser, en particulier quand c’est douloureux, que de découvrir ses failles en plein milieu d’une crise.

Pour cela, il faut d’abord maîtriser le volume et l’intensité de sa communication. Un manager en cyber dans un grand groupe est alimenté d’un flux d’information continu. Il lui est impossible de tout entendre dans les détails. Où est le bon curseur pour ne pas remonter trop d’informations à des responsables déjà sous DDOS permanent, sans tomber dans l’effet « sous-marin » ?

Il est en effet possible de cacher des choses sans même en avoir l’intention. Si vous souhaitez que vos messages soient entendus et pris en compte, il est important de veiller à l’efficacité de vos vecteurs de communication. De nombreux outils sont à votre disposition. Chacun possède ses avantages et inconvénients, et doit être utilisé à bon escient pour optimiser votre communication.

Dans cette optique, il nous semble important de mettre en avant les écrits. En effet, les one-to-one et les réunions d’équipe et tout autre rendu oral restent une base incontournable. Mais les écrits permettent de présenter des synthèses factuelles, opposables et partageables facilement à l’ensemble du groupe. Ils demandent néanmoins un travail de formalisation plus important.

Utilisez donc ce vecteur intelligemment, par exemple avec un journal de la cybersécurité hebdomadaire ou mensuel qui récapitule les principaux faits marquants de la période (incidents, projets, réglementaire, vie de l’équipe).

Règle II : Des métriques, tu produiras

« La grande question sur la vie, l’univers et le reste » est : comment mes métriques reflètent-elles mon travail ? En général, les chefs n’aiment pas les indicateurs rouges dans les tableaux de bord, pourtant ce sont ces indicateurs qui vous feront progresser dans un cycle d’amélioration continue si cher à la cybersécurité. Attention aux bons vieux « indicateurs pastèques » [1] qui rendent les RSSI heureux, mais ne reflètent en rien la réalité de votre activité.

Faire du reporting, c’est instaurer une culture de la transparence, se donner les leviers pour se questionner, et ausculter sa propre activité. Bref, avoir une approche scientifique. À tout moment, il faut pouvoir expliquer comment est calculé l’indicateur et sur quels éléments il repose.

Si les métriques sont mauvaises, ou que l’on ne mesure que les bonnes, on ne pourra pas correctement identifier ses axes d’amélioration. Nous connaissons tous ce SOC qui pour présenter son activité, indique le nombre de flux bloqués par les pare-feux ou ses IPS. Cela représente-t-il ses actions au jour le jour ?

Si nous prenons certaines méthodologies d’évaluation de la maturité et des capacités d’un SOC comme SOC-CMM [2], nous allons vite nous trouver face à une évaluation qui met un point d’honneur à l’existence et l’usage des métriques au sein de son service. Cette dernière ne cherche pas à savoir uniquement si vous avez des indicateurs, mais aussi à comprendre s’ils vous sont utiles, s’ils reflètent votre service et surtout si vous les utilisez pour améliorer et guider celui-ci. Dans ce but, on peut mesurer ses capacités de détection grâce à l’usage de certains frameworks comme SPEED [3] ou MagMa [4]. Ils vont offrir le cadre autour de la gestion et de la mesure des scénarios de détection.

Avant de finir, il ne faut pas avoir peur des indicateurs manuels ou subjectifs (type météo de l’équipe). Ils permettent de calculer des indicateurs de plus haut niveau qui seront représentatifs d’un état général. Il convient simplement de les utiliser avec parcimonie et de ne pas passer sa vie à les évaluer.

Enfin, les métriques doivent refléter le travail, mais on ne travaille pas pour remplir des métriques. Ces métriques sont uniquement là pour nous aider à évaluer, permettre de s’améliorer et de présenter son niveau ou sa posture par rapport à une cible. Le but d’un indicateur c’est de permettre d’adapter sa trajectoire, prévoir, anticiper et aider en cas de soucis.

Règle III : Tous les incidents, tu n’esquiveras pas

Une très bonne amie m’a dit un jour : « tu sais, tu ne sauveras pas tout le monde ». Aussi bon que vous soyez, un beau jour un attaquant trouvera un angle mort à exploiter et mettra votre SI à genoux. Lorsqu’on observe la motivation ou le niveau de certains attaquants comme pour l’incident récent sur LastPass [5], il est illusoire d’espérer arrêter 100 % des attaques.

Vous serez peut-être même licencié à cause de cet incident ! Mais, nous avons collectivement la chance d’évoluer dans un milieu où il est difficile de trouver des collaborateurs avec les bonnes compétences, au bon salaire et au bon moment et endroit. Vous trouverez une autre entreprise facilement. Vous pouvez par contre vous préparer, vous et votre équipe, à cette attaque. Le travail des défenseurs est beaucoup moins gratifiant que celui des attaquants, on travaille avec les règles et processus de son organisation : pas les attaquants. Par exemple, ne vendez jamais à votre top management « qu’avec vous à ce poste, il n’y aura pas de ransomware dans l’entreprise ». En revanche, mettez l’accent sur l’amélioration continue et utilisez tout l’arsenal à votre disposition : red team, purple team, pentest, audit, diagnostics, retex, exercice de crise, etc.

Ce qui est indispensable, c’est que des red teamers un peu énervés qui ont visité tout votre SI sans être détectés il y a quelques mois, ne puissent pas réutiliser les mêmes portes d’entrées et mécanismes sans être bloqués ou détectés la fois d’après. Si ces derniers trouvent d’autres portes ou, mieux, doivent transpirer un peu pour passer : c’est que vous avez fait votre travail !

2. People

Règle IV : Facilitateur pour ton équipe, tu deviendras

Le manager cyber est-il un expert technique qui accompagne ses troupes et gère des incidents ou un pilote projet qui ne touche plus à un terminal ? La cyber est souvent vue et vécue comme un travail et une passion, le manager qui s’oublie à « geeker » parce que ça le fait suer d’enchaîner des COPIL, c’est… prévisible ?

Nous connaissons peu de managers en cyber sortis d’une école de management. La plupart de ceux que nous avons croisés viennent plus ou moins de la SSI, de l’IT ou éventuellement de la sûreté ; et dans tous les cas avec un vernis technique. C’est un point important, pour manager en cyber vous devriez avoir un minimum de curiosité et d’appétence technique pour le métier.

À titre d’exemple, un cas extrême rencontré en audit : le manager qui ne comprend pas les activités de son équipe se fait manipuler par ses troupes sur les montants, les délais, les faisabilités. À l’extrême opposé, nous avons connu un chef qui passait ses après-midis à coder dans son coin, plutôt que de gérer les réunions d’équipe pour distribuer les activités. Très apprécié par l’équipe pour la grande autonomie laissée, impossible de s’arranger avec la réalité technique avec lui. Pour autant, l’équipe a raté quelques sujets en cours à cause du manque de pilotage.

En tant que manager, sachez reconnaître les effets de certains syndromes pouvant nuire à vos capacités de décisions. Ici, on cherche à éviter de tomber dans le bien connu syndrome de l’imposteur [6], ou encore son pendant, moins connu et pourtant tout aussi néfaste effet Dunning-Kruger [7].

Enfin, vous devez déléguer, pas micromanager ! On ne recrute pas des experts bardés de diplômes pour leur indiquer comment ils doivent gérer tel projet ou tel incident. Vous êtes là pour permettre aux autres de faire leur travail, leur apporter les moyens financiers, humains ou techniques qu’ils exploreront eux-mêmes, pour que, finalement : vous décidiez.

Règle V : Dans ton équipe, tu investiras

On a déjà évoqué la difficulté à trouver et à recruter des personnes pour ses équipes. Il est donc primordial de traiter ses équipes de manière à les garder le plus longtemps possible. Ne rêvez pas, la durée moyenne d’un poste en cyber doit osciller entre 2 et 5 ans. Quelques bonnes pratiques généralistes du management sont applicables pour préserver vos collaborateurs aussi longtemps que possible.

À commencer par la gestion du temps passé avec vos collaborateurs. Ci-dessous, un exemple d’organisation de votre communication.

  • Les one-to-one : 30 minutes, d’hebdomadaire à bimensuel entre vous et chaque personne de votre équipe. Très opérationnels, ils doivent permettre d’échanger des feedbacks et de faire du coaching, de débloquer des sujets, et d’aider vos collaborateurs à grandir. Partez des sujets tactiques pour remonter aux notions stratégiques lors de ces meetings.
  • Les réunions d’équipe : plusieurs meetings de 15 à 60 minutes d’une fréquence quotidienne à hebdomadaire. Ils doivent permettre de « prendre la tension » des troupes. Les sujets traités par une équipe de réponse à incident ne sont pas toujours simples. Vous devez vous assurer que votre équipe va bien. Le reste de ces réunions sert à débloquer les sujets en cours et partager de l’information.

Gardez un œil sur votre agenda, si votre équipe s’agrandit à 30 personnes, vous devrez prévoir 30 h de 1/1 par mois, il est peut-être temps de déléguer ou de se réorganiser. Et n’oubliez pas que, parfois, le bon 1/1 : c’est juste d’inviter au restaurant son collaborateur et de discuter avec lui de son divorce…

D’autres outils mnémotechniques comme les objectifs SMART sont à utiliser sans modération. Pour rappel un objectif SMART c’est un objectif :

  • Spécifique ;
  • Mesurable ;
  • Atteignable ;
  • Réaliste ;
  • Temporel.

Pour atteindre ces objectifs, la formation est un sujet critique. Si certains concepts restent au gré des années, les compétences techniques nécessitent d’être mises à jour régulièrement. La règle empirique d’une formation par an nous semble être la bonne pour notre milieu. Il faut comprendre qu’on ne parle pas ici forcément d’une formation SANS à 10 k€, mais bien de la construction d’un plan de formation qui va permettre une montée en compétences cohérente de votre équipe. Utilisez toute l’offre, parfois une formation c’est juste assister à la bonne conférence qui va attiser la curiosité, plutôt qu’un cours sur l’état de l’art d’un sujet.

La construction d’un plan de formation passera sans doute par un exercice de cartographie des compétences. On peut notamment les retrouver dans l’excellent « Panorama des métiers de la cybersécurité » proposé par l’ANSSI [8], qui servira aussi pour équilibrer et gérer ses compétences tel qu’évoqué dans la règle 6. Il permet de se rendre compte des compétences déjà présentes au sein de votre équipe et d’évaluer leur niveau de maîtrise. Pour construire cette matrice des connaissances, il existe le framework NICE [9] du NIST. On peut le voir comme le Mitre ATT&CK de la compétence. On trouve un exemple d’application de cette grille dans le « CSIRT Services Roles and Competencies » du FIRST [10]. Ce document décrit les différentes missions et rôles présents au sein d’un CSIRT, associé aux compétences nécessaires pour les mener à bien.

Finalement, avec un peu de bon sens et en vous appuyant sur les modèles existants du management traditionnel, vous devriez réussir à coacher vos troupes pour en tirer le meilleur, sans devenir la caricature « du chef ».

Règle VI : Ton équipe, tu respecteras

L’un des exercices qui peut sembler les plus périlleux pour un jeune manager, est de réussir à passer d’une somme d’individus aux parcours et situations très différentes, à une seule et même équipe faisant front ensemble. Rien n’est pire qu’une équipe qui éclate en plein vol lors d’un incident de sécurité majeur (au hasard) pour commencer à laver son linge sale en public.

Cette construction de l’esprit d’équipe peut s’organiser autour de trois piliers fondamentaux qui sont le respect des individus, le ralliement autour de valeurs communes et la transparence.

Respecter les individus est notre premier pilier. Malgré tout, il peut être mis en retrait dans certaines situations stressantes. Que ce soit pour vous, comme pour les membres de votre équipe, préserver vos piliers fondamentaux quoi qu’il se passe (santé, famille, sport…). Point important, le manager possède un rôle social central au sein de son équipe, puisque le collaborateur doit pouvoir se sentir écouté et en confiance en sa présence. En effet, c’est souvent lui la première ligne au sein de l’entreprise dans les moments difficiles (familiaux, santé…).

Pour autant, il existe des outils comme la Process Communication [11][12] ou la PNL [13]. Il s’agit de méthodes ou théories apportant une grille de lecture du fonctionnement des personnalités, une carte rapidement lisible des caractéristiques clés d’un type de personnalité : ses points forts, ses motivations, les modes de communication qui lui conviennent ou pas, les environnements dans lesquels il sera à l’aise ou pas. Une formation sur une de ces méthodes peut être un bon point de départ pour interagir intelligemment avec son équipe.

Le deuxième pilier est la construction d’une identité commune. En effet, en prenant la tête d’une équipe, on accepte d’avoir un ensemble d’individus venant avec leurs propres identités et avec leurs propres valeurs. Cette identité peut se traduire par l’identification d’une raison d’être pour le service, mais également par l’usage de méthodes communes (agilité, Kanban [14], rite, culture) qui visent à faire naître de l’intelligence collective [15].

Le troisième pilier est la construction d’une démarche de transparence avec son équipe. Comprendre le pourquoi des décisions de son entreprise et comment celles-ci interagissent directement ou indirectement avec l’identité de l’équipe. Cet exercice de communication permet de créer de l’échange, collecter du feedback, et s’assurer de la bonne compréhension des enjeux et de la nature des décisions.

Apprendre à connaître et interagir avec ses collaborateurs est la clé dans la construction d’une équipe, et pour finir n’oubliez pas qu’une bonne partie de cette connaissance se construit bien loin des salles de réunion, mais sur des terrains plus propices aux small talks comme la machine à café, la cantine ou les afterworks…

3. Tech

Règle VII : En 8 heures, aucune crise tu ne résoudras

La cybersécurité est indissociable de la gestion de crise par nature. Et qui dit crise, dit préparation à la crise. N’espérez surtout pas improviser une gestion de crise à 3h matin, lors d’un appel soudain de vos collègues de Singapour, car plus personnes n’arrive à s’authentifier… En tant que responsable d’une équipe cyber, vous devez préparer cette crise, grâce à des exercices, mais également au quotidien.

C’est cette préparation qui doit vous permettre d’améliorer votre connaissance du système d’information et d’identifier les axes d’améliorations associés (capacités opérationnelles de détection et de réponse, résilience, organisation, assurances) et surtout de s’entraîner !

En s’appuyant sur le guide de gestion de crise cyber de l’ANSSI [16] et sur des retours d’expériences [17] [18], on peut reprendre les phases clés pour ne pas se faire déborder une fois la crise présente :

  • alerter, mobiliser et endiguer ;
  • maintenir la confiance et comprendre l’attaque ;
  • relancer les activités métiers et durcir les systèmes d’information ;
  • tirer les leçons de la crise et capitaliser.

Quelques points nous semblent importants à mettre en avant durant la crise :

  • construisez vos décisions sur des faits ;
  • ne laissez pas vos biais prendre le dessus sur les faits [19] ;
  • maîtriser votre communication interne et externe ;
  • identifier correctement les acteurs impliqués et à impliquer ;
  • n’exposez pas les membres de votre cellule opérationnelle directement aux membres de la cellule décisionnelle. La communication entre cellules doit passer par un coordinateur.

Enfin, acceptez qu’une crise est un marathon et non un sprint, vous partez probablement pour quelques semaines. Préserver l’élément humain de votre organisation. Le risque à ne pas gérer est de voir partir vos collaborateurs en burnout au moment où l’organisation aura le plus besoin de vous.

Règle VIII : La dette technique de ton entreprise, tu ne porteras pas

On nous a longtemps vendu la cybersécurité comme l’élite de l’IT, les « cyberguerriers ». Nous proposons de revoir cette image pour « les éboueurs du SI ». En effet, lorsqu’en 2023, on vous demande d’intervenir à 3h du matin pour décommissionner en urgence un serveur Windows 2003 compromis, il nous semble que l’analogie du ramassage des poubelles est plus adaptée que de dire que l’on fait intervenir les Navy SEALs…

Gérer les poubelles ne signifie pas en être responsable, et ce sont malheureusement souvent les briques les plus vétustes et fragiles de nos SI qui portent les processus métiers les plus importants pour la survie de l’entreprise.

Dans le livre « The Devops Handbook » [20], les facteurs menant à la création de la spirale de la dette technique sont très bien restitués, et nous donnent de très bonnes bases pour débuter notre chemin de l’acceptation de celle-ci (à moins que vous soyez prêt à partir en croisade contre toute la société). Comme il faut apprendre à vivre avec, les moyens et opportunités mis à votre disposition prennent une dimension tout autre.

En effet, il n’existe pas de pire système où coincer dans cette spirale, aucun levier n’existe pour améliorer les choses. Cela va créer ce qu’on appelle de l’impuissance apprise [21], qui mène bien souvent, à la résignation, la perte de confiance en soi et cela peut aller jusqu’au burnout. Dans ce cas, souvenez-vous de la règle n°6, préservez votre santé et changez de crèmerie.

Qu’on l’accepte ou non (il sera plus facile de l’accepter), il est impossible de porter toute la dette technique de son entreprise tout seul. Cependant, pour bien la gérer et l’anticiper dans son travail de tous les jours, il est important de bien l’appréhender.

Règle IX : L’équilibre entre outils et process, tu trouveras

Vos processus doivent-ils s’appuyer sur vos outils ou vos outils doivent-ils s’adapter à vos processus ? Les deux approches s’opposent ici : la construction des process à partir des outils « tool-leading process », ou bien le choix des outils à partir des process, « process-leading tools ».

Tout d’abord, revenons-en aux fondamentaux, qu’est-ce qu’un processus et qu’est-ce qu’un outil :

  • Processus : « Enchaînement ordonné de faits ou de phénomènes, répondant à un certain schéma et aboutissant à quelque chose » – Larousse
  • Outil : « Ce qui permet de faire un travail. » – Robert

Le premier cas consiste à privilégier le choix de l’outil et de construire le processus autour. Dans ce cas, il faut choisir un outil qui colle à la plupart de nos besoins et le mettre en place, et une fois celui-ci pleinement fonctionnel, adapter les processus pour qu’ils répondent aux besoins et capacités de l’outil.

Le second consiste à dire que le processus est construit sans réelle focalisation sur un outil (ou une technologie en particulier). Il faut donc construire le processus en se concentrant sur l’objectif, puis on choisit ou change ensuite son outil en fonction du process, quitte à tordre un peu l’outil pour son besoin.

Dans le premier cas, le risque est d’avoir des processus entravés pour coller à une technologie, rendant le processus faillible ou limité aux capacités de l’outillage. Dans le second, l’outil peut se retrouver détourné de sa raison d’être pour le faire correspondre le plus possible à un processus, le rendant inefficace, difficile à maintenir, douloureux à l’usage pour les équipes.

Combien d’appels d’offres voyons-nous passer, et combien demandent aux outils de s’adapter parfaitement au mode de fonctionnement d’une organisation ? Choisissez vos outils pour leur qualité technique et utilisez-les en fonction de leur adéquation dans votre environnement, quitte à adapter un peu vos processus. Vous avez en effet la main sur les processus de votre organisation, modifier le fonctionnement d’un outil externe à votre entreprise est beaucoup plus difficile.

Outils et processus sont complémentaires. Ce sont les outils qui vont permettre de mettre les processus en musique, mais seulement si vous respectez la manière dont ils ont été conçus.

Bonus

Règle X : Le chaos, tu embrasseras

Probablement le point le plus important : il est impossible de maîtriser 100 % de l’activité d’une équipe de plusieurs personnes. En tant que manager, vous devez accepter de ne pas maîtriser tout ce qu’il se passe dans votre équipe… Tout en étant responsable et redevable vis-à-vis de la hiérarchie et du reste de l’entreprise !

Derrière ce paradoxe, quelques règles simples à garder en tête, vous êtes légitime à dire « je ne sais pas, mais je vais me renseigner » ou « non, mon équipe ne fournit pas ce service-là aujourd’hui ». Simple à dire dans ces lignes, mais potentiellement complexe à exposer à son top management qui craint pour le business d’une part et voit les coûts que représente la cybersécurité pour l’organisation d’autre part.

Pour gérer cela, notre conseil aux managers est de sortir d’un état d’esprit de type « obligation de résultat » et de rentrer dans une démarche « offre de service, d’obligation de moyens et d’amélioration continue ». Accompagnez cette posture avec beaucoup de pédagogie, c’est-à-dire : expliquez un peu, répétez beaucoup !

La cybersécurité est un service délivré au business (et à l’IT). Comme tout service, il se décrit par une offre et des niveaux associés actualisables [22]. Votre travail consiste donc à délivrer ce service au niveau demandé malgré le chaos inévitable.

Conclusion

Au travers de ce guide nous avons essayé de couvrir une partie des sujets auxquels un manager cyber est confronté au quotidien. Au travers des 3 piliers : communication & process, people et tech et de dix grandes règles, nous y avons listé les ressources utiles pour les personnes débutant le management dans une équipe cybersécurité.

Si les approches systématiques basées sur des frameworks reconnus comme le FIRST ou le NIST semblent particulièrement intéressantes, car reproductibles et comparables entre plusieurs organisations, il ne faut pas oublier que le management nécessite d’aimer interagir avec les Hommes et qu’un peu de bon sens et beaucoup de terrain permettent de progresser rapidement sur l’exercice.

Pour finir, nous vous recommandons de choisir votre propre responsable avec précaution et de grandir sous son aile, sans l’imiter. Car, au-delà des principes et framework du management, il est indispensable d’avoir un modèle sur lequel vous appuyer. En management comme en cybersécurité, une curiosité sans fin, beaucoup de pratique et une capacité d’apprentissage rapide restent les meilleurs des professeurs.

Remerciements

Les auteurs tiennent à remercier particulièrement toute l’équipe du Kering CERT pour leurs relectures attentives ainsi que Jean-Charles et Cyril pour avoir rendu possible cet article.

Références

[1] Fabrice GASCOIN, « Les indicateurs pastèques », 28 mars 2019 :
https://www.linkedin.com/pulse/les-indicateurs-past%C3%A8ques-fabrice-gascoin/?originalSubdomain=fr

[2] SOC-CMM : https://www.soc-cmm.com/

[3] Jurgen Visser, « The “SPEED” SIEM Use Case Framework », v1.1 - 2 mai 2020 :
http://correlatedsecurity.com/content/images/2020/04/SPEED%20Use%20Case%20Framework%20v1.1.pdf

[4] « MaGMa », Version 1.0 – 15 novembre 2017 : https://www.betaalvereniging.nl/wp-content/uploads/FI-ISAC-Use-Case-Framework-Full-Documentation.pdf

[5] « Security Incident Update and Recommended Actions », 1er mars 2023 : https://blog.lastpass.com/2023/03/security-incident-update-recommended-actions/

[6] « Syndrome de l'imposteur », Wikipédia : https://fr.wikipedia.org/wiki/Syndrome_de_l'imposteur

[7] « Effet Dunning-Kruger », Wikipédia : https://fr.wikipedia.org/wiki/Effet_Dunning-Kruger

[8] « Panorama des métiers de la cybersécurité », ANSSI :
https://www.ssi.gouv.fr/guide/panorama-des-metiers-de-la-cybersecurite/

[9] « Workforce Framework for Cybersecurity (NICE Framework) », NIST : https://www.nist.gov/system/files/documents/2022/08/02/NICE%20Framework%20%28NIST%20SP%20800-181%29_one-pager_508Compliant.pdf

[10] « CSIRT Services Roles and Competencies », FIRST : https://www.first.org/standards/frameworks/csirts/FIRST_CSIRT_Services_Roles_and_Competencies_v_0.9.0.pdf

[11] « Process Communication Model », Wikipédia : https://fr.wikipedia.org/wiki/Process_Communication_Model

[12] Gérard Collignon, « Comment leur dire… La Process Communication  », 3ᵉ édition – 3 avril 2019, Intereditions

[13] « Programmation neuro-linguistique », Wikipédia :
https://fr.wikipedia.org/wiki/Programmation_neuro-linguistique

[14] Julia Martins, « Qu'est-ce que la méthode Kanban? Définition et outils », 16 mars 2023 : https://asana.com/fr/resources/what-is-kanban

[15] « Qu’est-ce l’intelligence collective ? » :
https://experiences.microsoft.fr/articles/travail-hybride/intelligence-collective-definition

[16] ANSSI & CDSE, « Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique » : https://www.ssi.gouv.fr/uploads/2021/12/anssi-guide-gestion_crise_cyber.pdf

[17] ANSSI, « Conférence de clôture : Retour technique de l'incident de TV5Monde », SSTIC 2017 : https://www.sstic.org/2017/presentation/2017_cloture/

[18] Stéphane Lenco, « Retex gestion de crise »,NoLimitSecu :
https://www.nolimitsecu.fr/retex-gestion-de-crise/

[19] Michael Taggart,« Interrogating Bias in Incident Response » : https://taggart-tech.com/incident-bias/

[20] Gene Kim, Jez Humble, Patrick Debois, John Willis, Nicole Forsgren : « The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations », 30 novembre 2021, IT Revolution Press

[21] « C’est quoi l’impuissance apprise ? » :
https://irepsna.org/documentations/cest-quoi-limpuissance-apprise

[22] « FIRST CSIRT Services Framework, FIRST :
https://www.first.org/standards/frameworks/csirts/csirt_services_framework_v2.1



Article rédigé par

Par le(s) même(s) auteur(s)

Antivirus, PowerShell et ORC pour le Live-Forensics

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Spécialité(s)
Résumé

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise en œuvre peut s’avérer complexe sur des systèmes d’information modernes et des zones géographiques étendues. Cet article aborde les capacités de déploiement d’outils de live-forensics au travers des antivirus pour permettre la mise en œuvre des outils de référence, comme DFIR-ORC, lorsque c’est nécessaire.

Covid-19, télétravail : mise en œuvre d’accès distants sécurisés pour se rapprocher du SI

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Spécialité(s)
Résumé

Les mesures de confinement prises par le gouvernement mi-mars 2020 pour contrer la propagation du Covid-19 ont poussé les entreprises et administrations de toutes tailles à promouvoir le télétravail. Cet article présente le retour d’expérience d’une partie de l’équipe EDF en charge des « accès distants sécurisés » pendant cette période.

Zero Trust : anti-SOC, tu perds ton sang froid ?

Magazine
Marque
MISC
Numéro
110
Mois de parution
juillet 2020
Spécialité(s)
Résumé

Les security operation centers, au sens large, sont aujourd’hui au cœur des systèmes d’information des entreprises. En revanche, beaucoup adoptent encore et toujours une approche traditionnelle de la sécurité du SI. Comment le paradigme Zero Trust va-t-il impacter nos supervisions ? Repensons un peu à toutes ces années de service pour voir ce que Zero Trust peut apporter au SOC, et réciproquement comment ces derniers peuvent accompagner la transition.

Les derniers articles Premiums

Les derniers articles Premium

Le combo gagnant de la virtualisation : QEMU et KVM

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

C’est un fait : la virtualisation est partout ! Que ce soit pour la flexibilité des systèmes ou bien leur sécurité, l’adoption de la virtualisation augmente dans toutes les organisations depuis des années. Dans cet article, nous allons nous focaliser sur deux technologies : QEMU et KVM. En combinant les deux, il est possible de créer des environnements de virtualisation très robustes.

Brève introduction pratique à ZFS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Il est grand temps de passer à un système de fichiers plus robuste et performant : ZFS. Avec ses fonctionnalités avancées, il assure une intégrité des données inégalée et simplifie la gestion des volumes de stockage. Il permet aussi de faire des snapshots, des clones, et de la déduplication, il est donc la solution idéale pour les environnements de stockage critiques. Découvrons ensemble pourquoi ZFS est LE choix incontournable pour l'avenir du stockage de données.

Générez votre serveur JEE sur-mesure avec Wildfly Glow

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Et, si, en une ligne de commandes, on pouvait reconstruire son serveur JEE pour qu’il soit configuré, sur mesure, pour les besoins des applications qu’il embarque ? Et si on pouvait aller encore plus loin, en distribuant l’ensemble, assemblé sous la forme d’un jar exécutable ? Et si on pouvait même déployer le tout, automatiquement, sur OpenShift ? Grâce à Wildfly Glow [1], c’est possible ! Tout du moins, pour le serveur JEE open source Wildfly [2]. Démonstration dans cet article.

Les listes de lecture

11 article(s) - ajoutée le 01/07/2020
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.
8 article(s) - ajoutée le 13/10/2020
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.
10 article(s) - ajoutée le 13/10/2020
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Voir les 67 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous