Du 1er au 31 octobre, chaque année, la France participe au Mois européen de la cybersécurité (Cybermois), une campagne pilotée au niveau européen par l’ENISA et coordonnée en France par Cybermalveillance.gouv.fr, en lien étroit avec l’ANSSI. L’objectif est de sensibiliser massivement les citoyens, les entreprises et les collectivités à adopter les bons réflexes face aux menaces numériques.
Selon une enquête Ipsos pour Cybermalveillance.gouv.fr (le dispositif national d’assistance aux victimes de cybermalveillance et de sensibilisation aux risques numériques), 58 % des Français estiment être suffisamment informés sur les risques liés à l’utilisation d’internet.

Intensifier les communications
Bien entendu, l’entreprise ne doit surtout pas attendre le mois d’octobre pour sensibiliser ses employés aux bonnes pratiques de cybersécurité et d’hygiène informatique. Cependant, il faut profiter de ce mois dédié au niveau européen pour intensifier les actions de sensibilisation dont la communication. En effet, un utilisateur non averti des risques de cybersécurité auxquels il est sujet (phishing, arnaque au président, corruption, etc.) sera plus à même de tomber dans le piège d’un cyberattaquant.

Organiser une journée d’activités de sensibilisation
Investir dans la sensibilisation de ses employés, c’est investir dans la cybersécurité de son entreprise. C’est pourquoi dédier une journée au sein de son entreprise avec des activités rapides autour de la cybersécurité est essentiel. Ces activités permettront à chaque employé de venir entre deux réunions assister à une courte démonstration de hack technique en direct ou de présentation des bonnes pratiques de cybersécurité. Ces présentations permettent également de rappeler les processus internes de l’entreprise concernant la cybersécurité (signalement, bons réflexes…).

Tester les réflexes de cybersécurité
Sensibiliser à la cybersécurité générale les employés de son entreprise est une étape primordiale. Mais il faut aussi vérifier l’efficacité en conditions réelles. 

Communications

• E-mail : Parution sous le format de mini-article concernant un sujet en particulier en cybersécurité qui a beaucoup touché l’entreprise. Rappel des processus internes de l’entreprise avec les actions à effectuer dans le cas d’une suspicion d’attaque.
• Post Teams/Slack/Viva Engage : Quels que soient les moyens de communications instantanées utilisés dans l’entreprise, effectuer des rappels de bons réflexes de cybersécurité et des ressources documentaires utiles (Cybermalveillance.gouv.fr).
• Bannière intranet : Communication sur le Cybermois.

Journée de sensibilisation

• Atelier « Phishing » : Présentation des différentes techniques d’hameçonnage avec les réflexes à avoir pour les détecter et les signaler au sein de votre entreprise.
• Atelier « Sensibilisation cyber » : Présentation des bonnes pratiques de cybersécurité, des processus internes de l’entreprise et comment adopter une hygiène informatique au bureau comme à la maison.
• Atelier « Hack » : Proposer la démonstration de techniques avancées de hacking utilisées par le cyberattaquant : Rubber Ducky, Flipper Zero, etc.

Indicateurs

• Audience : Quel était le taux de participation aux sessions de sensibilisation lors du Cybermois (ou de l’année) ?
• Engagement : Combien de personnes ont suivi les cours en ligne et complété les quiz sur la cybersécurité générale ?
• Réflexes : Pourcentage de signalements des mails douteux lors de campagnes internes de phishing.

• Kit de communication pour le Cybermois (Cybermalveillance.gouv.fr)
• Kit de sensibilisation aux risques numériques (Cybermalveillance.gouv.fr)
• Ressources pour créer votre évènement cyber (Cybermalveillance.gouv.fr)
• E-sensibilisation SensCyber : Apprendre et tester vos connaissances (Cybermalveillance.gouv.fr)
• Sensibiliser, développer ses compétences et s’entrainer (ANSSI)

Vous l’aurez compris, la réponse efficace pour sensibiliser les utilisateurs de son entreprise c’est de mettre en place tout au long de l’année des périodes de sensibilisation à la cybersécurité générale, avec :

• Des supports en ligne (exemple : MOOC);
• Des journées dédiées avec des activités autour de la cybersécurité;
• Des communications internes.

Une fois les sensibilisations délivrées, il faut vérifier leur efficacité avec des quiz de cybersécurité et des campagnes internes de phishing.

L’intelligence artificielle (IA) transforme les organisations à une vitesse inédite. Qu’il s’agisse d’automatiser certaines tâches, de générer du contenu ou d’enrichir l’analyse décisionnelle, son usage s’intensifie dans les environnements professionnels. Mais cette puissance technologique soulève aussi de nouveaux défis : sécurité, conformité, éthique, gouvernance… Pour en tirer tous les bénéfices tout en préservant la maîtrise, les entreprises doivent structurer leur approche autour d’un cadre clair, évolutif et adapté aux usages.

Voici trois points de réflexion pour encadrer l’usage de l’IA sans brider les dynamiques d’innovation.

Dès lors que l’IA devient une composante systémique des activités de l’entreprise (analyse prédictive, bots décisionnels, production automatisée), une gouvernance rigoureuse s’impose. Il ne s’agit plus seulement de déterminer les usages, mais d’en assurer la sécurité, la transparence et la traçabilité.

Où inscrire ces règles ?

• Dans la PSSI (Politique de sécurité des systèmes d’information) : ajoutez un chapitre dédié à l’usage des modèles d’IA, à la gestion des données d’entraînement et à la supervision humaine.
• Dans les politiques de gouvernance de la donnée, de conformité RGPD ou de gestion des risques : l’IA doit être intégrée aux processus existants et non traitée comme un bloc à part.

Quelques principes à appliquer :

• Documenter systématiquement les modèles utilisés : origine, version, biais connus, périmètre d’usage.
• Évaluer les risques avant tout déploiement : sur les plans éthiques, opérationnels et juridiques.
• Effectuer des contrôles humains de type « human-in-the-loop » dans tous les cas où des décisions peuvent impacter des individus ou l’organisation.
• Journaliser les actions de l’IA pour assurer son auditabilité, sa transparence et la possibilité de recours.

Le phénomène de shadow IA – l’utilisation non contrôlée d’outils par les collaborateurs – est souvent le symptôme d’un manque d’alternatives internes, d’un cadre trop flou ou justement trop rigide. Pour le prévenir, il faut en accompagner l’usage, plutôt que le brider.

Voici quelques actions à privilégier :

• Former et sensibiliser les équipes : proposez des ateliers, guides pratiques et retours d’expérience sur l’usage de l’IA dans le cadre professionnel.
• Mettre en place un portail interne d’outils IA : y centraliser les applications validées, avec leurs cas d’usage, limites connues et tutoriels.
• Instaurer une culture de l’innovation responsable : valorisez les initiatives internes, tout en assurant un dialogue permanent entre les métiers, la DSI, la direction juridique et la conformité.

Encadrer l’usage de l’IA ne signifie pas ralentir l’innovation, mais bien la rendre fiable, durable et alignée avec les enjeux stratégiques de l’entreprise. En structurant les usages, en intégrant des garde-fous dès les premières expérimentations, et en créant un climat de confiance, les organisations peuvent transformer l’IA en levier de performance – plutôt qu’en facteur de risque.

👉 Suivez-nous pour ne rien manquer de l’actualité sur l’IA, la cybersécurité et la gestion des risques !

• Notre formation sur la gestion des risques
• Notre page LinkedIn

• Notre site web

La certification HDS (Hébergeur de Données de Santé) a été instaurée pour garantir la sécurité de l’hébergement des données de santé à caractère personnel (DSCP) en France. Pilotée par l’Agence du Numérique en Santé (ANS) et la Délégation au Numérique en Santé, elle s’appuie sur une collaboration étroite avec la CNIL, le Haut Fonctionnaire de Défense et de Sécurité (HFDS) du ministère de la Santé, ainsi que le COFRAC, chargé d’accréditer les organismes certificateurs

Le HDS est sorti en version 2 en mai 2024. Les récentes évolutions ont permis une lecture plus fluide et cohérente. Sa structure est désormais alignée sur celle de la norme ISO 27001, certes actualisée dans sa version 2022, mais à laquelle viennent s’ajouter des chapitres spécifiques portant sur les contrats, la souveraineté des données et la localisation accès distants. Cette clarification a permis de supprimer certains éléments redondants, comme les exigences liées aux copies papier, les traces, supports de stockages… déjà couvertes par l’ISO 27001.
Le référentiel HDS vient donc ajouter des aspects plus stratégiques et plus prescriptifs :

• Les éléments relatifs aux contrats (dont la réversibilité)
• La souveraineté des données
• La gestion des accès distants par des tiers et/ou hors EEE.

Ce recentrage marque une volonté claire de renforcer le contrôle sur les flux de données, notamment lorsqu’ils proviennent de pays extérieurs à l’Espace Économique Européen. Il s’agit ici de garantir que les données de santé à caractère personnel ne soient pas exposées à des juridictions étrangères potentiellement incompatibles avec le RGPD.

Le référentiel va encore plus loin. Il prévoit un renforcement progressif des exigences en matière de protection des données personnelles, notamment concernant les transferts hors de l’Union européenne. Une première étape a été franchie avec la version 2 actuelle, et une seconde est attendue d’ici 2027.
Il devient essentiel de mettre en évidence les acteurs situés hors de l’EEE. Certains acteurs jouaient de ce flou en se faisant certifier sur certains niveaux du HDS et laissant un tiers certifié HDS s’occuper du reste, dont le siège ou le datacenter est hors EEE.
Chaque hébergeur HDS doit présenter publiquement la raison sociale et la provenance des acteurs intervenant dans le périmètre, précisant également si ceux-ci présentent un risque d’accès aux DSCP depuis des pays tiers à l’EEE, imposé par la législation d’un pays tiers (ie. si un Etat ou une autorité extra EEE demande un accès aux DSCP).
Il ne s’agit pas de pointer du doigt les acteurs non européens dans une logique de stigmatisation, mais dans un souci de transparence vis-à-vis des clients et des titulaires de données de santé. Cette transparence permettra aux acteurs français et européens de se démarquer face aux géants de l’hébergement étrangers, notamment américains.

Aujourd’hui les hébergeurs n’ont pas tous pris la mesure de ce changement. Certains basculent tout en gestion locale sur le territoire Français, d’autres attendent de voir comment l’autorité de contrôle va intervenir. De plus, tant que tous les prestataires n’auront pas migré vers la version 2, cette dimension de souveraineté ne pourra pas pleinement s’exprimer. Mais ce n’est qu’une question de mois avant que cette transition ne devienne obligatoire.

Enfin, il sera crucial d’examiner avec attention les exigences renforcées prévues pour 2027. Elles pourraient bien redéfinir les standards de confiance dans l’hébergement des données de santé.

👉 Suivez-nous donc pour ne rien manquer de ces évolutions majeures !

• Notre page LinkedIn

• Notre site web

La série #INDISEC est un ensemble d’articles dédiés à la production d’indicateurs SSI.  Ce chapitre traite des éléments à surveiller dans la gestion des droits et des habilitations.

Le chapitre final se verra agrémenté d’un tableau de bord au format Excel, formalisant tous les points étudiés dans la série. Vous pourrez l’exploiter tout de suite !

Nous nous sommes penchés sur quelques indicateurs clés que nous considérons comme incontournables pour un(e) RSSI, un(e) correspondant(e) sécurité ou toute personne travaillant dans la sécurité opérationnelle. Que vous soyez déjà outillé(e) en tableaux de bords – parfois contraints par le groupe ou une autorité de contrôle – ou que vous partiez d’une feuille blanche, voici quelques retours d’expérience que nous souhaitions vous partager.

Ce 4e épisode de notre série sur les indicateurs SSI présente les métriques permettant de piloter les droits et les habilitations sur les différentes briques techniques et fonctionnelles d’un système d’information.

Les comptes applicatifs et techniques sont par nature une « porte d’entrée » sur un système d’information. Il est crucial d’avoir une vision claire sur l’usage de ces comptes. Il est également essentiel de s’assurer de l’adéquation entre les comptes provisionnés sur les systèmes, le paramétrage des habilitations, au regard des besoins métiers et des règles de sécurité de l’entreprise.

Pour ce faire, il est nécessaire d’avoir des indicateurs de pilotage fiables et pertinents afin de mesurer les non-conformité, les risques associés et prendre les mesures de remédiations appropriées.

Pour des raisons évidentes de traçabilité et d’imputabilité, les comptes utilisateurs doivent tous être nominatifs et rattachés fonctionnement à une seule personne.

La fiche de poste de chaque type d’utilisateur doit être associée à une matrice de droits et d’habilitations sur les différents systèmes et applications du SI. Il conviendra de lister par groupe d’utilisateur les systèmes accessibles et les niveaux d’habilitations sur ces systèmes. Ceci permettra d’établir un socle commun « standard » par groupe d’utilisateur. Les cas particuliers de chaque utilisateur pourront être traités en sus et consigné dans la matrice d’habilitation personnelle de l’utilisateur.

Afin de suivre les évolutions d’un collaborateur lors de sa « vie » dans l’organisation, il est primordial d’établir un processus d’échange d’information entre les Ressources Humaines, le management et le paramétrage techniques des droits et habilitations des utilisateurs. En effet, chaque changement métier d’un collaborateur doit potentiellement faire l’objet de modifications techniques sur les systèmes et les applications (modification, désactivation, suppression …).

Idéalement, les comptes à privilège génériques ne doivent pas pouvoir être utilisés pour établir une connexion interactive sur un système.

Dans le cas où il n’est pas possible de désactiver ces comptes,  ils ne doivent pas être gérés directement par les administrateurs mais par un outil tiers (type bastion) en charge d’authentifier l’administrateur à la machine en fonction de ses habilitations. Dans ce cas, l’administrateur ne connait pas les mots de passe de ces comptes et l’imputabilité des actes techniques est assurée par le bastion d’administration. L’administrateur utilise donc son compte nominatif rattaché à un groupe autorisé à se connecter sur ces composants techniques.

La gestion des comptes nominatifs des administrateurs pourra suivre les mêmes principes que les comptes utilisateurs « standards ».

 De même que pour les comptes à privilège, les comptes de services peuvent être gérés par un bastion d’administration. Dans ce cas, la gestion de ces comptes et des habilitations associés s’en retrouve simplifié et suit les mêmes principes que les comptes à privilège « classiques ».

Mais dans la plupart des cas, ces comptes sont configurés manuellement dans les applications ou les socles techniques. Dans ce cas, il faudra contrôler régulièrement ces comptes par un processus manuel d’audit et évaluer au cas par cas s’ils doivent être utilisés de la sorte. 

Dans tous les cas de figure il faut éviter tout type de compte dont les informations de connexion sont inscrites en clair dans des scripts ou applicatifs.

En support au processus ci-dessus permettant d’assurer l’adéquation entre les comptes/habilitations techniquement configurés sur les systèmes et les besoins métiers de l’entreprise, il convient de mettre en œuvre un processus de contrôle périodique appelé processus de re-certification des comptes.
Les comptes utilisateurs doivent être contrôlés régulièrement pour s’assurer que la liste des utilisateurs déclarés et actifs sur les systèmes est cohérente avec la réelle population habilitée de l’organisation. Nous vous invitons à lire notre article sur le sujet pour plus de précisions. En plus de cette activité, il faut s’assurer que les habilitations 

Ce processus de contrôle des comptes peut prendre plusieurs formes :
• Contrôle des comptes et habilitations sous forme d’audits
• Demande de validation managériale régulière (trimestrielle) pour les différents collaborateurs d’une équipe (mail envoyé au manager pour valider la réalité des comptes actifs et la pertinences des droits ou profils associés).

Le choix d’un mode de contrôle dépendra de la typologie des comptes et/ou des risques associés à un usage malveillant de ces comptes.

Les indicateurs ci-dessous illustrent nos exemples.

Les comptes techniques sont les portes d’entrée de votre système d’information. La gestion des habilitations permet d’assurer la cohérence des rôles et responsabilité des collaborateurs, et dans bien des cas la conformité réglementaire de votre activité professionnelle.
A ce titre, une attention particulière devra être portée à la cohérence entre les besoins métiers et le paramétrage des comptes applicatifs sur votre SI. Cette attention devra faire l’objet de contrôles réguliers et mesurés par des indicateurs.

L’ensemble de ces indicateurs va pouvoir être utilisé pour évaluer la vraisemblance de certains scénarios de vos analyses de risques. Par exemple, si des problématiques de gestion de droits utilisateurs remontent dans vos indicateurs, la vraisemblance des scénarios impliquant de l’usurpation d’identité pourra être pondérés à la hausse.
Il est également possible à partir des différentes matrices de corrélation poste/applications, poste/projet, poste/processus de construire des indicateurs complexes donnant une vision plus stratégique de la prise en compte de la sécurité par les métiers.

Exemple : Indicateur sur les processus associés aux comptes en écarts.

Objectif : identifier quels sont les processus métiers ou techniques pour lesquels la conformité des comptes et des habilitations est en défaut afin de prendre des actions de remédiations : amélioration/simplification du processus, vecteurs de communication entre le processus métier et la sécurité…

Notre dossier sur les indicateurs SSI n’est pas terminé, retrouvez nos autres conseils dans nos billets de blogs (L’actualité de Kedros cybersécurité).

Cette série fera l’objet d’un modèle de tableau de bord, livré au dernier épisode !

Suivez nous si vous voulez connaitre la suite !

• Notre page LinkedIn

• Notre site web

Organisme de formation de référence sur les aspects de gouvernance, risque et conformité en cybersécurité, Kedros Cybersécurité obtient la certification Qualiopi sur ses actions de formation ! Cette certification rend le cabinet éligible aux financements publics (fonds publics et/ou fonds mutualisés).

Le cabinet franchit une étape importante, en alignement total avec sa volonté d’associer expertise technique et pédagogie dans ses activités.

Retrouvez toutes nos formations et dates de dispenses ici !

Le Référentiel national qualité est organisé autour de sept critères qualité :

1. Conditions d’information du public sur les prestations proposées, les délais pour y accéder et les résultats obtenus ;
2. Identification précise des objectifs des prestations proposées et l’adaptation de ces prestations aux publics bénéficiaires, lors de la conception des prestations ;
3. Adaptation aux publics bénéficiaires des prestations et des modalités d’accueil, d’accompagnement, de suivi et d’évaluation mises en œuvre ;
4. Adéquation des moyens pédagogiques, techniques et d’encadrement aux prestations mises en œuvre.
5. Qualification et développement des connaissances et compétences des personnels chargés de mettre en œuvre les prestations ;
6. Inscription et investissement du prestataire dans son environnement professionnel ;
7. Recueil et prise en compte des appréciations et des réclamations formulées par les parties prenantes aux prestations délivrées.

La certification Qualiopi a été délivrée par l’AFNOR. Elle est valable trois ans à l’issue du résultat favorable de l’audit initial.

Vous trouverez notre certificat ici.