Il ne s’agit pas seulement de changer le mot de passe : la cybersécurité devant la Haute Cour

Aussi disponible à l’adresse Epub

Résumé

Récemment, la Haute Cour a été la cible d’un piratage, exigeant un réexamen urgent et un renforcement de ses mesures de cybersécurité. Clarice, stagiaire au Bureau de la gestion des processus organisationnels, a assumé la responsabilité de mener une recherche approfondie sur la cybersécurité et de présenter un rapport contenant des propositions de solutions pour atténuer les risques afin d’appuyer les décisions stratégiques visant à réorganiser la Cour. Ce scénario est l’occasion de discuter des principes fondamentaux de la sécurité de l’information, d’explorer des stratégies pour minimiser les cyber-risques sans nuire à la productivité des organisations, et d’examiner les défis auxquels fait face la haute direction lors de la mise en œuvre de contrôles de sécurité dans les processus d’affaires cruciaux et la gestion des risques, invitant le lecteur à réfléchir sur les écarts qui peuvent exister entre les meilleures pratiques et celles réellement adoptées dans le domaine de la sécurité cybernétique. En contextualisant la situation dans les cours supérieures brésiliennes, il cherche non seulement à souligner l’importance de cette discussion, mais aussi à sensibiliser à l’interaction complexe entre la cybersécurité, l’efficacité opérationnelle et la culture organisationnelle.

Mots-clés: Cybersécurité, Cour de justice, attaques de pirates informatiques, gestion de cas, gestion des risques.

Abstrait

Récemment, la Cour suprême a été la cible d’une attaque de pirates informatiques, exigeant un examen urgent et un renforcement de ses mesures de cybersécurité. Clarice, stagiaire au Bureau de gestion des processus organisationnels, a assumé la responsabilité de mener des recherches approfondies sur la cybersécurité et de présenter un rapport proposant des solutions pour atténuer les risques auxquels elle est confrontée afin d’appuyer les décisions stratégiques de réorganisation de la Cour. Ce scénario est l’occasion de discuter des principes fondamentaux de la sécurité de l’information, d’explorer des stratégies pour minimiser les cyberrisques sans compromettre la productivité organisationnelle et d’examiner les défis auxquels fait face la haute direction dans la mise en œuvre de contrôles de sécurité dans les processus opérationnels critiques et la gestion des risques. Ce cas invite le lecteur à réfléchir sur les écarts qui peuvent exister entre les pratiques recommandées et celles effectivement adoptées dans le domaine de la cybersécurité. En contextualisant la situation devant les cours suprêmes brésiliennes, l’objectif n’est pas seulement de souligner l’importance de cette discussion, mais aussi de sensibiliser à l’interaction complexe entre la cybersécurité, l’efficacité opérationnelle et la culture organisationnelle.

Mots-clés: Cybersécurité, justice, attaques de pirates informatiques, gestion des processus, gestion des risques.

Parcours juridiques : le parcours de Clarice devant les tribunaux

Étudiante en administration des affaires, dans l’un des cours de gestion des processus, Clarice s’est intéressée au thème des processus d’affaires, en particulier, en raison de la pertinence que le contrôle de la qualité par les processus de travail peut avoir dans la réalité d’une organisation. Comme elle n’avait pas encore eu sa première expérience de stage, elle en a cherché un qui lui permettrait de développer ses compétences dans ce domaine ou dans un domaine connexe. Dans cette recherche, elle a trouvé une opportunité inhabituelle : faire un stage au Bureau de la gestion des processus organisationnels de l’une des 5 cours supérieures du Brésil (BRASIL, 1988), où elle a participé à la cartographie et à l’amélioration des flux de processus opérationnels de l’Agence.

À son entrée à la Cour, les attentes de Clarice ont été largement dépassées lorsqu’elle s’est rendu compte des innovations technologiques qui imprégnaient l’environnement. C’était un véritable aperçu de l’avenir du système judiciaire vers sa transformation numérique. Parmi les nouveautés, elle a noté l’adoption des appels vidéo pour la tenue des audiences, ce qui, selon elle, a rendu la justice plus accessible et plus agile.

De plus, le processus électronique, avec toutes ses phases numérisées, de la pétition à l’achèvement du processus, a indiqué un changement important dans la façon dont la bureaucratie était confrontée. Et, pour couronner le tout, le service à distance via le « bureau virtuel » a montré que la Cour s’engageait véritablement dans la transformation numérique pour mieux servir la population.

Clarice était enthousiaste à l’idée de plonger dans ce paysage de l’innovation tout en aidant à cartographier les flux de processus commerciaux. Son stage promettait d’être un voyage passionnant et riche en apprentissages au cœur du système judiciaire brésilien.

Lors de ses premiers jours de stage, la superviseure de Clarice a tenu un Intégration , dans lequel il a présenté quelques documents sur l’organisation, dont l’organigramme de la Cour supérieure, qui mettait en évidence tous les principaux secteurs et départements. En plus de l’organigramme, on lui a présenté la chaîne de valeur, qui a mis en évidence les principaux macro-processus réalisés pour atteindre les objectifs et les résultats de l’organisation.

À partir de l’examen des documents transmis par son superviseur, Clarice a pu vérifier certaines caractéristiques de la Cour, parmi lesquelles : les juges qui travaillent à la Cour sont appelés ministres et tous sont nommés par le président, avec l’approbation préalable du Sénat fédéral. En outre, les affaires qui y sont jugées commencent soit directement devant le tribunal, soit révisent les décisions des tribunaux régionaux d’État et fédéraux, c’est-à-dire qu’ils jugent les appels définitifs et importants dans les procédures judiciaires.

De plus, Clarice avait quelques doutes quant à la chaîne de valeur de la Cour quant à savoir quels seraient les macro-processus d’affaires qui se démarqueraient comme finalistes, puisque la chaîne de valeur englobe de nombreux macro-processus, tels que : la réception et la distribution des processus, l’analyse et la communication des processus, la production de décisions, les jugements, le traitement judiciaire et l’exécution des actes notariés et le respect des ordonnances et des décisions.

Sur cette base, elle a décidé de planifier une réunion pour les résoudre avec sa superviseure, Fernanda, qui lui a expliqué que les macro-processus liés à la préparation des ordonnances et des décisions sont considérés comme finalistes pour l’organisation, car ils sont exécutés directement par les magistrats.

De cette conversation avec Fernanda, Clarice a compris un peu plus la structure de la Cour et les processus macro-commerciaux sur lesquels elle travaillera tout au long de son stage.

Au-delà des murs : la cyberinvasion et la fuite de données

Au milieu de ce monde de nouvelles informations et d’attentes, un événement bouleverse les progrès de la Cour : une cyberattaque contre l’un des systèmes utilisés par la Cour. Il s’agissait du système utilisé pour la communication entre le tribunal et les parties à la procédure (avocats et parties à l’affaire), contenant certains outils tels que la recherche sur la consultation procédurale et la fourniture d’informations générales, telles que l’accès à la collection et les questions fréquemment posées. De plus, au sein de l’agence elle-même, les employés utilisaient le même système comme outil pour faire avancer les processus, c’est-à-dire que la disposition juridictionnelle passait par ce système.

Lorsque l’attaque s’est produite, les employés ne savaient pas très bien ce qui se passait, car le système n’était tout simplement pas disponible. Cependant, au fil du temps et de la normalisation, les rumeurs sur l’attaque ont commencé à se répandre, et un air de méfiance et de peur s’est installé, car, en plus du stress de ne pas pouvoir terminer leur travail, il y avait une incertitude sur ce qu’il adviendrait du système maintenant.

Plus tard, il a été constaté que le système avait ses limites et ses vulnérabilités, et c’est grâce à l’une d’entre elles que l’attaquant a réussi à l’infiltrer, en accédant à des informations confidentielles¹.

Cependant, au lieu de s’approprier directement l’information, l’attaquant a déployé un type d’attaque spécifique connu sous le nom de « Ransomware » . Ce type d’attaque se caractérise par l’utilisation de logiciels malveillants, qui cryptent toutes les données sur les ordinateurs et les serveurs compromis.

Par la suite, l’attaquant a exigé une rançon en échange de la clé de déchiffrement nécessaire pour récupérer les informations. Il est important de noter que, selon la loi brésilienne, il n’existe aucun soutien juridique pour le paiement des rançons en cas d’attaques de ce type.

Cela a provoqué une instabilité dans le système, l’obligeant à être hors ligne pendant un certain temps, ce qui a retardé les processus et établi une insécurité générale dans le tribunal. Au milieu de cette situation, Clarice s’est retrouvée perdue dans son premier gros problème au tribunal. Ne sachant pas comment procéder, elle s’est tournée vers Internet. Il y a eu 103,16 milliards de tentatives de cyberattaques en 2022, ce sont les données collectées par le Laboratoires FortiGuard , que Clarice a découvert lors de ses recherches sur la sécurité de l’information et les cyberattaques. Le travail de Clarice a également été affecté par l’une de ces attaques, car elle utilise le système piraté. Maintenant, elle et le tribunal devront faire face à cette nouvelle réalité et tenter de résoudre cette situation, en minimisant les conséquences et en repensant la sécurité de l’information au sein du tribunal afin que la même situation ne se reproduise plus.

L’impact a été grand ! Et maintenant?

Au Bureau de la gestion des processus organisationnels de la Haute Cour, la routine a cédé la place à un tourbillon de chaos et d’inquiétude à la suite du piratage dévastateur... Les conséquences ont été effrayantes et immédiatement visibles sur plusieurs fronts. Les systèmes de sécurité étaient insuffisants dans leurs fonctions, laissant des informations cruciales exposées. Une série d’incidents se sont succédé, ébranlant l’essence de la justice que la Cour représentait.

Miguel, le chef du Bureau de la gestion des processus organisationnels, et son équipe ont rapidement compris les conséquences de l’attaque. L’information nécessaire au processus décisionnel dans la chaîne d’approvisionnement des données a changé, ce qui a entraîné de la confusion et de l’incertitude chez les juges.

Certains des processus secrets ont également été exposés, provoquant une indignation et une inquiétude généralisées. De plus, dans une enquête sur l’incident, il a été constaté que les pirates avaient un accès précoce aux déterminations et aux décisions en cours, même sans les modifier, mettant ainsi en échec la crédibilité du système judiciaire. Des décisions qui auraient pu façonner l’avenir d’affaires importantes ont été compromises.

La disposition juridictionnelle a été interrompue, les systèmes paralysés par les cyberattaquants. La Cour était vulnérable et tous les efforts du Bureau de la gestion des processus organisationnels semblaient insuffisants face à cette menace virtuelle.

L’attaque de pirates informatiques a déclenché une course contre la montre pour restaurer les systèmes et l’intégrité de l’image de la Cour. Avec le temps, des mesures palliatives ont été mises en œuvre pour contenir les impacts immédiats. Cependant, les dommages causés par cet acte ont été profonds et le chemin vers un rétablissement complet ne faisait que commencer. Aujourd’hui, en plus de la reconstruction, l’accent était mis sur l’amélioration de la sécurité et des processus, au-delà des solutions d’urgence déjà mises en œuvre.

Les efforts visant à inverser les effets de cette attaque sans précédent ne faisaient que commencer, et chaque membre de la Cour savait que son engagement et son dévouement seraient essentiels pour protéger l’intégrité de la Cour et faire prévaloir la justice.

Néanmoins, Clarice était peu sûre d’elle et anxieuse, ne sachant pas ce qu’elle pouvait faire face au scénario qui se présentait à elle. Dans cette optique, elle a demandé une rencontre d’alignement avec son superviseur afin de comprendre quelle serait la meilleure façon d’aider le Cabinet à mettre en œuvre des solutions aux problèmes émergents.

Clarice : Fernanda, j’ai un peu d’appréhension à propos de cette rencontre. La situation après l’attaque de pirates nous a tous inquiétés.

Fernanda (superviseure) : L’attaque était vraiment inquiétante, mais c’est pour cela qu’il faut se renforcer encore plus. Je veux que vous vous concentriez sur une tâche importante... En tant que stagiaire au Bureau de la gestion des processus organisationnels, j’aimerais que vous meniez une enquête avec Rodrigo, l’un des directeurs du Bureau de la gestion des processus, afin de soulever d’éventuelles lignes directrices visant à accroître la sécurité des flux de processus opérationnels de la Cour. Pour ce faire, consultez également l’équipe technologique, qui pourra vous aider à mieux comprendre les enjeux.

Clarice : Je m’efforcerai de mener à bien ces recherches. J’espère qu’il pourra contribuer d’une manière ou d’une autre à de futures actions d’amélioration des processus.

Fernanda : Exactement, Clarice. J’ai entièrement confiance en vos capacités et je sais que sous le mentorat de Rodrigo, vous apporterez tous les deux des idées précieuses ayant le potentiel d’améliorer nos processus. Rechercher les meilleures pratiques en matière de cybersécurité, explorer les technologies, Cadres et, si nécessaire, consulter le personnel du Secrétariat des technologies de l’information.

Compte tenu de ces orientations, Clarice était enthousiaste à l’idée de la demande qui lui était assignée et de l’opportunité de générer un impact aussi pertinent lors de son premier stage avec l’un des gestionnaires. Dans ce contexte, une recherche d’alternatives a été initiée pour tenter de savoir comment l’organisation peut mieux se structurer pour faire face à ce type de cyber-risque, sur la base d’une recherche qui explore à la fois comment créer une stratégie de prévention et comment augmenter la sécurité du flux de processus du tribunal

Sécurité de l’information : un aperçu

Pour répondre à la demande qui lui a été transmise, Rodrigo a délimité les étapes par lesquelles les deux hommes passeraient pour faire la recherche, Figure 1.

Dans la première étape, « Recherche bibliographique », Clarice était chargée d’identifier certains sujets pertinents pour prévenir de futures attaques de pirates informatiques contre la Cour. Au fur et à mesure qu’elle identifiait ces thèmes, Clarice les a consignés dans un rapport, afin qu’il puisse ensuite être présenté à Fernanda, sa superviseure, et à Miguel, chef du Bureau, en consolidant les résultats des étapes délimitées pour la recherche.

Inspirée par son travail dans le domaine public, elle a décidé de commencer par ce qui est dit dans la loi, plus précisément ce que la LGPD, Loi générale sur la protection des données, dit sur la sécurité de l’information. Cependant, après avoir analysé la loi, elle a découvert qu’il n’y a pas de méthode spécifique préconisant, la loi mentionne seulement qu’il doit y avoir des protections adéquates - et ce, pour la confidentialité des données - qui s’est avérée être un autre univers.

Rodrigo a effectué des recherches sur la partie contrôles de sécurité. Parmi les sujets trouvés, les suivants se démarquent : Cadres et des publications qui suggèrent les contrôles de sécurité nécessaires pour se protéger contre, par exemple, les attaques de pirates informatiques :

Contrôles de sécurité et de confidentialité pour les systèmes d’information et les organisations fédérales (NIST SP, 2020) : Dans cette publication, Rodrigo a identifié une série d’informations cruciales pour améliorer la sécurité des flux d’affaires de la Cour supérieure. La publication établit des contrôles précis qui peuvent être mis en œuvre dans toute organisation ou tout système qui traite du traitement, du stockage ou de la transmission de l’information. Ces contrôles visent à renforcer la cybersécurité et la protection de la vie privée, protégeant ainsi l’institution contre les menaces potentielles.

Rodrigo a également noté que la publication suggère l’importance d’améliorer la communication entre les organisations, en fournissant un lexique commun pour faciliter la discussion sur les concepts de sécurité, de confidentialité et de gestion des risques. Cela permet aux équipes impliquées dans la prévention des risques d’avoir une compréhension unifiée des termes et des objectifs, renforçant ainsi la collaboration et l’efficacité des stratégies mises en œuvre.

La publication décrit également certains des concepts fondamentaux associés aux contrôles de sécurité et de confidentialité, offrant un aperçu complet des principes et des principes fondamentaux qui guident la mise en œuvre de ces mécanismes de protection. L’un des concepts clés qu’elle a glanés est celui des « contrôles de sécurité ». Ces contrôles font référence à des pratiques précises qu’une organisation peut mettre en œuvre pour atténuer les risques de cybersécurité et protéger ses systèmes et ses informations contre les menaces. Elles couvrent un large éventail de mesures, allant des procédures et des politiques de sécurité aux technologies et pratiques opérationnelles.

De plus, le catalogue consolidé des contrôles de sécurité et de confidentialité de la publication est un outil précieux pour les organisations, car il fournit une liste complète de contrôles spécifiques, chacun accompagné d’une section de discussion qui explique le but de son application et offre des informations utiles sur la façon de les mettre en œuvre et de les évaluer de manière appropriée.

Suis-je en sécurité ? Que dois-je savoir ?

Lors de la présentation de ses résultats à Clarice, Rodrigo a souligné que la publication présente une liste de contrôles connexes, mettant en évidence les interrelations et les dépendances entre les différents contrôles. Cette compréhension approfondie peut aider le Bureau de la gestion des processus organisationnels à recommander une approche intégrée et synergique dans la mise en œuvre de ces mesures de sécurité.

Cadre de cybersécurité du NIST V 1.1 : Il se compose de la Cadre qui présente les normes, les directives et les pratiques de l’industrie de manière à permettre la communication des activités et des résultats de cybersécurité dans l’ensemble de l’organisation, du niveau de la direction au niveau de la mise en œuvre/des opérations (NIST CSF, 2018). En lisant la liste, Clarice a pu identifier environ 5 fonctions, 22 catégories, 98 sous-catégories et environ 1200 contrôles de sécurité, décrits dans le Cadre , Figure 2 (NIST, 2022, L’apud Alves, Renato S. ; Georg, Marcus A. C. ; Nunes, Rafael R., 2022).

Clarice a compris que, lorsqu’ils sont considérés ensemble, ces rôles offrent une vision stratégique de haut niveau du cycle de vie de la gestion des risques de cybersécurité d’une organisation (NIST CSF, 2018). Ensuite, le Noyau du cadre Identifie les principales catégories et sous-catégories sous-jacentes, qui sont des résultats spécifiques, pour chaque rôle et les associe à des exemples de références informatives, telles que les normes, les directives et les pratiques existantes pour chaque sous-catégorie.

Cadre cybersécurité Contrôles CIS (CIS, 2021) : De Cadres et les publications étudiées et présentées par Rodrigo, Clarice a considéré cela Cadre comme étant le plus didactique et prometteur, puisqu’il a été construit à partir de la simplification des structures du NIST (NIST SP, 2020 et NIST CSF, 2018). Elle a identifié dans le Livre blanc publié par McClain & Sagerand (2018) que les 18 contrôles mis en évidence dans cette Cadre Viser à répondre aux besoins des infrastructures critiques de l’organisation avec le meilleur rapport bénéfice-risque. Ceci est basé sur le principe de Pareto, qui dit que 20 % des causes sont responsables d’environ 80 % des effets. Par conséquent, environ 20 % des contrôles NIST peuvent améliorer d’environ 80 % la cybersécurité.

Clarice s’est rendu compte que la mise en œuvre des contrôles de SPC du SIC suit une approche structurée et progressive. Le processus commence par le groupe IG1, qui est considéré comme obligatoire pour toutes les organisations, quelles que soient leurs ressources disponibles. Cette première étape est essentielle pour établir une base solide de sécurité, même pour les organisations aux ressources limitées.

Ensuite, le cadre aborde le groupe IG2, qui prend en compte les organisations à ressources modérées. Au cours de cette phase, des contrôles et des mesures de sécurité supplémentaires sont ajoutés pour faire face aux menaces plus complexes et atténuer les risques à un niveau intermédiaire.

Enfin, le groupe IG3 s’adresse aux organisations exposées à des risques élevés, comme la Cour supérieure. Ensemble, ils ont réalisé que des contrôles avancés et des stratégies de cybersécurité plus sophistiquées devront être mis en œuvre pour lutter contre les menaces extrêmement graves et protéger l’organisation contre les attaques très complexes (Figure 3).

Clarice s’est rendu compte que le Cadre propose une approche stratégique et bien structurée pour renforcer la cybersécurité de la Cour. La division en trois groupes - IG1, IG2 et IG3 - permet d’adapter la mise en œuvre des contrôles aux particularités et aux ressources de l’établissement, rendant l’approche plus souple et accessible.

Certaines des publications et Cadres pour mettre en place d’éventuels contrôles de sécurité en Cour supérieure, Clarice perçoit le besoin d’identifier les processus d’affaires qui devraient être priorisés pour mettre en place les contrôles, puisqu’il y en a plusieurs définis par les matériaux étudiés.

Dans cette optique, Rodrigo a également identifié le « Protocole de gestion de crise cyber du pouvoir judiciaire – PGCRC-PJ », ordonnance n° 162 du CNJ du 10 juin 2021, qui établit les procédures réactives à mettre en œuvre avant et après la survenance d’une crise cyber à moyen/long terme. Dans ce document, il a pu percevoir qu’il est nécessaire d’identifier les activités primaires pour le maintien de l’activité finale de l’organisation, d’identifier les actifs qui soutiennent ces activités et d’évaluer en permanence les risques auxquels elles sont exposées et que ce sont les actions prévues pour la prévention du risque de crise cyber (Conseil National de la Justice, 2021a, p. 15-16).

Grâce à ces informations, Clarice se souvient de la conversation qu’elle a eue avec son superviseur au début du stage, au cours de laquelle elle a posé des questions sur la chaîne de valeur. Dans cette conversation, Fernanda explique que les processus commerciaux, « la préparation des ordonnances et des décisions », sont considérés comme finalistes pour l’organisation, car ils sont exécutés directement par les magistrats. Ainsi, Clarice conclut que ce seront ceux qui seront prioritaires dans son rapport.

Après avoir priorisé les processus d’affaires, respectifs de la Cour supérieure, Clarice cherche à comprendre, en analysant les impacts de l’incident et en effectuant la recherche de référence, quels seraient les principaux risques liés aux activités menées dans l’organisation.

Dans cette recherche, la recherche menée par ALVES, Renato S. & GEORG, Marcus A. C. & NUNES, Rafael R. (2022), qui identifie les risques commerciaux des principales activités du pouvoir judiciaire (Figure 4), a été identifiée.

En plus des risques d’entreprise, dans cette même recherche, Clarice a pu identifier le lien entre les risques d’affaires et les risques opérationnels, dérivé de l’analyse des causes et des sources du risque opérationnel (Figure 5).

Après ces résultats de la recherche d’ALVES, Renato S. et al. (2022), Clarice peut déjà envisager où les contrôles de sécurité pourraient être mis en œuvre dans les processus opérationnels prioritaires de la Cour, afin de renforcer leur sécurité, en prévenant de futures attaques.

Les services judiciaires et la sécurité de leurs processus opérationnels

Après avoir mené la recherche, M. Rodrigo a rappelé la nécessité de comprendre quels seraient les points de vue des autres départements de la Cour concernant la mise en œuvre de contrôles de sécurité dans leurs processus opérationnels. Ainsi, Clarice était chargée de réaliser des entretiens avec ces collaborateurs. Au cours de ces entretiens, elle a rencontré une diversité de points de vue et de préoccupations concernant la mise en œuvre de nouveaux contrôles de sécurité dans les processus d’affaires.

Certains employés ont exprimé des inquiétudes compréhensibles quant à la complexité et aux retards possibles que de tels changements pourraient entraîner dans des flux de travail établis depuis des années. Ils craignaient que l’adoption de nouveaux contrôles n’interfère avec leurs routines quotidiennes et n’entraîne une résistance opérationnelle.

De plus, le stagiaire a également remarqué une réticence à l’égard de modifications potentielles des systèmes déjà consolidés à la Cour. De nombreux employés étaient habitués aux interfaces et aux fonctionnalités existantes, et tout changement pouvait générer un malaise et la nécessité de s’adapter à un nouvel environnement de travail numérique.

Malgré la résistance initiale, Clarice s’est rendu compte que certains entretiens révélaient également une ouverture à la compréhension de l’importance de la cybersécurité. Les employés plus mobilisés ont reconnu que, même s’il existe des préoccupations légitimes concernant la complexité, la sécurité et l’intégrité des données de la Cour sont essentielles pour assurer un environnement de confiance protégé contre les menaces numériques.

Sécurité et efficacité opérationnelle : une relation inversement proportionnelle

Lorsqu’elle a été confrontée à la tâche de rechercher des alternatives pour prévenir de futures cyberattaques devant la Haute Cour, Clarice s’est plongée dans un dilemme intrigant et crucial : la relation inversement proportionnelle entre une cybersécurité accrue et la perte potentielle d’efficacité des processus commerciaux.

Clarice a compris que la mise en place de contrôles de cybersécurité était essentielle pour renforcer les défenses de la Cour contre d’éventuelles attaques. L’adoption de mesures strictes, comme l’indiquent les publications et les Cadres , comme « Cyber Security CIS CSC V 8.0 » (CIS, 2021), pourrait rendre les systèmes plus résilients et moins vulnérables aux cybermenaces.

Cependant, M. Rodrigo a souligné qu’à mesure que des contrôles de sécurité sont mis en œuvre et que la cybersécurité est renforcée, les processus opérationnels ont tendance à devenir plus complexes et plus longs. L’ajout de couches de sécurité peut nécessiter des vérifications, des étapes d’autorisation et des procédures d’authentification supplémentaires, ce qui peut avoir un impact sur le flux normal des activités et ralentir certains processus.

Cette dualité a conduit Clarice à une réflexion profonde sur la manière de trouver un équilibre entre le besoin de cybersécurité et l’efficacité opérationnelle de la Cour. Après tout, il est essentiel d’assurer la sécurité de l’information pour protéger l’équité et la confidentialité des procédures, mais il ne faut pas négliger l’importance de maintenir l’agilité et l’efficacité des procédures judiciaires.

Pour relever ce défi, Clarice a compris que l’approche idéale serait de trouver un équilibre entre la mise en place de contrôles de cybersécurité et l’optimisation des processus d’affaires. Cela pourrait se faire par une analyse approfondie et minutieuse de l’application des contrôles, en identifiant les domaines dans lesquels la sécurité est la plus critique et les domaines dans lesquels il est possible de simplifier les procédures sans compromettre la protection des données. C’est-à-dire mettre en œuvre des contrôles fondés sur le processus d’évaluation des risques. À quoi sert l’efficience sans l’efficacité ?

De plus, elle s’est rendu compte de l’importance de promouvoir une culture de sensibilisation et de formation pour les employés de la Cour, afin de s’assurer que tout le monde est aligné sur les mesures de sécurité et comprend leur pertinence pour l’intégrité des opérations. Néanmoins, les dirigeants de la Cour ont un rôle crucial dans la mise en œuvre des mesures de sécurité et dans l’équilibre avec l’agilité des opérations.

Un regard vers l’extérieur : comparaison avec d’autres organisations

Pour compléter ses recherches, elle a décidé de faire une point de référence dans certaines entreprises brésiliennes pour analyser la manière dont la pratique de la sécurité de l’information est effectuée. À cette fin, nous avons analysé un article de Silva Netto, A. D., et al. Silveira, M. A. P. D. (2007) qui étudie un échantillon de 43 petites et moyennes entreprises de la région ABC de São Paulo pour déterminer quelles sont les méthodes les plus courantes et quels sont les facteurs qui motivent ou inhibent l’adoption de la gestion de la sécurité de l’information. Les résultats montrent que les techniques les plus utilisées sont l’antivirus, la sauvegarde de fichiers et le pare-feu et que les principaux facteurs de démotivation sont la valeur de l’investissement, la difficulté de mesurer le coût-bénéfice, le manque de connaissances et la culture organisationnelle des entreprises elles-mêmes. Enfin, parmi les trois couches de gestion de la sécurité – physique, logique et humaine – l’humain est celle qui est la plus déficiente. Nous devons faire de l’être humain le maillon le plus fort de la chaîne !

Cette recherche a amené Clarice à repenser un peu la différence entre ce qu’elle a étudié et ce qui se fait en pratique, puisque les organisations ne choisiront pas toujours les meilleures méthodes, soit parce qu’elles n’ont pas de ressources ou de connaissances en matière de sécurité de l’information, soit parce qu’elles préféreront avoir moins de sécurité, mais d’autre part elles auront plus d’agilité dans les processus.

Renforcer la cybersécurité

Après des recherches approfondies et du dévouement, Clarice, la stagiaire, et Rodrigo, le gestionnaire du Bureau de gestion des processus organisationnels de la Cour supérieure, étaient prêts à regrouper toute l’information dans un rapport complet. Ils connaissaient l’importance de ce document pour présenter leurs conclusions et propositions à Fernanda, leur superviseure, et à Miguel, le chef du Bureau. Le rapport serait l’une des références pour orienter la stratégie visant à prévenir de futures cyberattaques et à accroître la sécurité des flux de processus opérationnels de la Cour.

Pour mieux communiquer ses conclusions, Clarice a organisé l’information de manière concise. Elle a souligné l’importance d’une approche équilibrée entre la cybersécurité et l’efficacité des processus d’affaires, montrant comment les dirigeants joueraient un rôle clé dans la prise de décisions éclairées.

Après avoir atteint la partie cruciale du rapport, Clarice a présenté la suggestion de mise en œuvre, en mettant l’accent sur le « modèle à trois lignes de l’IAA 2020 » (IAA, 2020). Elle a expliqué que ce modèle aiderait la Cour à identifier les structures et les processus qui aident à atteindre les objectifs et facilitent une gouvernance solide et une gestion efficace des risques (figure 6).

Clarice a décrit les principaux points du modèle, y compris l’approche fondée sur des principes, l’accent mis sur la contribution de la gestion des risques à la création de valeur et la compréhension claire des rôles et des responsabilités au sein du modèle.

De plus, elle a souligné l’importance d’aligner les activités et les objectifs sur les intérêts prioritaires de l' Parties prenantes , en veillant à ce que le Bureau de la gestion des processus organisationnels s’engage à répondre aux attentes de ceux qui font confiance à la sécurité et à l’intégrité de la Cour.

Une fois le rapport finalisé, Rodrigo, avec le soutien de Clarice, était prêt à le présenter à Fernanda et Miguel. Rodrigo a demandé une rencontre avec les deux. Lors de la présentation du rapport, il a souligné l’importance cruciale de la situation, soulignant que la récente attaque de pirates informatiques a mis en évidence la fragilité des systèmes et le besoin urgent de mesures préventives plus robustes. Il est devenu évident que de nombreux conseils d’administration n’étaient pas encore prêts à prendre des décisions liées à la cybersécurité aux niveaux supérieurs de la direction. Cela a soulevé d’importantes préoccupations.

Miguel, chef du Bureau de la gestion des processus organisationnels, est d’accord avec l’urgence de la situation. Ils ont réalisé qu’un travail conjoint devait être mené pour mettre en œuvre les changements proposés et renforcer la cybersécurité. La possibilité de nouvelles attaques et leurs conséquences imminentes ont mis en évidence la nécessité de décisions rapides et efficaces, impliquant toutes les parties prenantes. L’équipe était maintenant confrontée à un moment critique où une action décisive était essentielle pour protéger les systèmes et assurer la continuité des opérations judiciaires.

Questions pour la discussion

1. Quels sont les principaux défis auxquels sont confrontées les organisations lorsqu’elles intègrent le cyberrisque dans les décisions de la haute direction et la gouvernance globale ?
2. Les résultats des recherches de Rodrigo et Clarice étaient-ils satisfaisants ? Commentez ce qui aurait pu être fait pour améliorer les recherches menées.
3. Quelles stratégies peuvent être adoptées pour rendre la Cour plus résiliente face aux cyberattaques futures, sans compromettre l’efficacité des processus opérationnels ?
4. Quels sont les principaux enseignements tirés de la précédente attaque de pirates informatiques et comment peuvent-ils être appliqués pour renforcer la résilience de la Cour face aux cybermenaces futures ?
5. Comment la collaboration entre le Bureau de la gestion des processus organisationnels et d’autres services de la Cour peut-elle être renforcée pour assurer la mise en œuvre efficace des mesures de cybersécurité ?
6. Compte tenu de l’évolution constante des cybermenaces, comment pouvons-nous renforcer la préparation de la Cour à faire face à des attaques plus sophistiquées à l’avenir ?
7. Comment l’efficacité des processus d’entreprise est-elle affectée par la mise en œuvre de mesures de sécurité ? Dans ce scénario, quelle est la meilleure approche : l’efficacité ou l’efficience ?
8. Comment relier les risques d’entreprise aux risques opérationnels ? Comment améliorer la communication entre les différents niveaux de l’organisation en ce qui concerne les risques ?

Notes des auteurs

¹Il est important de préciser qu’une attaque par ransomware est utilisée en plusieurs phases. Dans ce cas de l’enseignement, il a été décidé de simplifier et de ne pas approfondir cette question à des fins didactiques.

Galerie

Références

Alves, Renato S. ; Georg, Marcus A. C. ; Nunes, Rafael R. (2022). Le système judiciaire sous le coup d’un pirate informatique : les risques commerciaux pour la cybersécurité dans les tribunaux brésiliens. Monographie - Administration, FACE, Université de Brasília - UnB, Brasília. DOI : 10.17013/risti.n.pi-pf. Consulté le : 22 juillet. 2023.

BRÉSIL. [Constitution (1988)]. Constitution de la République fédérative du Brésil de 1988. Brasília, DF : Présidence de la République, 2016. Consulté le 20 juillet 2023, disponible à l’adresse https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm.

BRÉSIL [loi générale sur la protection des données] (2018). Consulté le 24 juillet 2023 https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

CIS, Centre pour la sécurité Internet. (2021). « Directives simplifiées et prioritaires en matière de cyberdéfense – Contrôles de sécurité critiques de la CEI - CSC, version 8.0 ». Consulté le 23 juillet 2023, disponible à l’adresse : https://www.cisecurity.org/controls

Conseil national de la justice (CNJ). (2021a). Stratégie nationale de cybersécurité du système judiciaire. Ordonnance CNJ n° 162/2021. Consulté le 23 juillet 2023, disponible à l’adresse : https://atos.cnj.jus.br/files/compilado1402302021061460c7617672ec5.pdf

Conseil national de la justice (CNJ). (2021b). Justice 4.0. Consulté le 21 mai 2022, disponible à l’adresse https://www.cnj.jus.br/tecnologia-da-informacao-e-comunicacao/justica-4-0/

Conseil national de la justice (CNJ). (2012). Les cours supérieures : qu’est-ce que c’est ? Que font-ils ?. JusBrasil. Consulté le 22 juillet 2023, disponible à l’adresse https://www.jusbrasil.com.br/noticias/tribunais-superiores-quais-sao-o-que-fazem/170117397

FebranTech, (2023). Consulté le 23 juillet 2023. https://febrabantech.febraban.org.br/temas/seguranca/brasil-e-segundo-pais-mais-atingido-por-ciberataques-na-america-latina-diz-relatorio

Hino, M. C. et Cunha, M. A. (2020). Adoption des technologies du point de vue des professionnels du droit. Revista Direito GV, v. 16 (n. 1), e1952. Consulté le 22 juillet 2023. doi :10.1590/2317-6172201952.

Lima, Eduardo et Moreira, Fernando et Deus, Flavio et Amvame Nze, Georges et de Sousa Junior, Rafael et Nunes, Rafael. (2022). Évaluation de la routine opérationnelle de l’opérateur national du système électrique brésilien (ONS) en relation avec les actions de gestion des risques associés à la cybersécurité. RISTI - Revue ibérique des systèmes et technologies de l’information. E49. 301-312. Consulté le 23 juillet 2023, disponible à l’adresse : https://www.researchgate.net/publication/362916438_Avaliacao_da_Rotina_Operacional_do_Operador_Nacional_do_Sistema_Eletrico_Brasileiro_ONS_em_Relacao_as_Acoes_de_Gerenciamento_de_Riscos_Associados_a_Seguranca_Cibernetica

McClain, S. et Sagerand, T. (2018). « Auditer, évaluer, analyser : une approche hiérarchisée utilisant le principe de Pareto ». Consulté le 23 juillet 2023, disponible à l’adresse : https://www.cisecurity.org/insights/white-papers/auditing-assessing-analyzing-a-prioritized-approach-using-the-pareto-principle

NIST_CSF, Cadre de cybersécurité, version 1.1, (2018). « Cadre pour l’amélioration de la cybersécurité des infrastructures essentielles ». Consulté le 23 juillet 2023, disponible à l’adresse : https://nvlpubs.nist.gov/nistpubs/cswp/nist.cswp.04162018.pdf

Publication spéciale du NIST (SP) 800-53, révision 5, (2020). « Contrôles de sécurité et de confidentialité pour les systèmes d’information et les organisations fédérales ». Consulté le 23 juillet 2023, disponible à l’adresse : https://doi.org/10.6028/NIST.SP.800-53r5

PF arrête les auteurs de cyberattaques sur le site Web géré par le STF, Pinheiro Mirelle, Carone Carlos. Metropolis, 2022. Disponible à l’adresse : https://www.metropoles.com/distrito-federal/na-mira/pf-prende-autores-de-ataques-ciberneticos-a-site-mantido-pelo-stf . Consulté le 24 juillet 2023

La police fédérale a identifié un pirate informatique qui a envahi le système STJ, a déclaré le directeur général Ortiz, Denis. TV Globo, 2020. Disponible à l’adresse : https://g1.globo.com/politica/noticia/2020/11/06/policia-federal-identificou-hacker-que-invadiu-sistema-do-stj-diz-diretor-geral.ghtml . Consulté le 24 juillet 2023.

Silva Netto, A. D., et Silveira, M. A. P. D. (2007). Gestion de la sécurité de l’information : facteurs qui influencent son adoption dans les petites et moyennes entreprises. JISTEM-Journal of Information Systems and Technology Management, 4, 375-397.

Cour suprême, (2023). Consulté le 23 juillet 2023 https://portal.stf.jus.br/textos/verTexto.asp?servico=centralDoCidadaoCartaDeServiServicosJurisdicionais&pagina=processosConsultaProcessual

Tribunal fédéral des États-Unis. (2018). Programme de processus électroniques : la Cour suprême en phase avec l’avenir. Consulté le 22 juillet 2023, disponible à l’adresse https://portal.stf.jus.br/textos/verTexto.asp?servico=processoPeticaoEletronica&pagina=Informacoes_gerais_apos_desligamento_v1 .

L’Institut des auditeurs internes (IAA). (2020). IAA 2020 Modèle des trois lignes : une mise à jour des trois lignes de défense. Consulté le 23 juillet 2023, disponible à l’adresse : https://iiabrasil.org.br/noticia/novo-modelo-das-tres-linhas-do-iia-2020

À propos des auteurs

Gabriel Marinho Godinho est étudiant en administration des affaires à l’Université de Brasilia, membre de l’équipe ADM Casoteca et ancien membre d’AD&M Business Consulting. Il a une expérience professionnelle en tant que consultant de projet, travaillant avec la gestion publique et travaille actuellement en tant qu’analyste des processus organisationnels dans l’un des plus grands courtiers d’assurance du Brésil. Courriel : g.marinho99@gmail.com

Beatriz Teles Fernandez est étudiant en administration des affaires à l’Université de Brasília et membre de l’équipe ADM de Casoteca. Courriel : falecombtf@gmail.com

Renato Solimar Alves est un responsable de la sécurité de l’information et des technologies de l’information travaillant dans la protection des ressources technologiques dans le système judiciaire depuis 15 ans. Il est un membre actif du Comité de gestion de la sécurité de l’information du pouvoir judiciaire et a contribué à la définition et à la mise en œuvre de politiques et de lignes directrices qui renforcent la posture de cybersécurité et la réponse aux incidents de sécurité dans la sphère judiciaire. Il est titulaire d’une maîtrise en génie électrique, une spécialisation en ingénierie des systèmes, après avoir obtenu un diplôme en technologie des télécommunications mobiles et possède une formation technique en électronique. Il a notamment dirigé des équipes dans le secteur public et des entreprises de télécommunications.

Carlos Zottmann il est titulaire d’un diplôme en technologie du traitement des données des collèges intégrés de Católica de Brasília, d’un MBA en gouvernance informatique d’Unieuro et d’un diplôme de troisième cycle Lato Sensu en droit numérique et protection des données d’IDP. Il est Certified Information Systems Security Professional (CISSP) par l’ISC2, et est actuellement étudiant en Master en Cybersécurité à l’Université de Brasília (UnB). Professionnel avec plus de 30 ans d’expérience dans l’informatique, ayant travaillé principalement dans des organes du pouvoir judiciaire. Il est au service de la Cour supérieure de justice depuis 1994, où il a occupé le poste de gestionnaire dans les domaines de l’infrastructure et de la cybersécurité, et est affecté à la Cour électorale supérieure depuis 2018, où il occupe le poste de chef du Centre stratégique de gestion de la cybersécurité.

Rafael Rabelo Nunes est un professionnel avec une formation en informatique et une carrière active dans l’enseignement, qui recherche dans la synergie entre la technologie et les personnes, le moteur de la transformation des organisations. Il est actuellement professeur auxiliaire à temps partiel à l’Université de Brasilia, où il se consacre à l’enseignement et à la recherche sur la manière dont les technologies de l’information peuvent être utilisées stratégiquement par les personnes et les organisations, en tenant compte des risques encourus. Il est conseiller en gestion des risques à la Cour suprême fédérale et professeur au Centre universitaire UniAtenas. Il est titulaire d’un doctorat en génie électrique de l’Université de Brasilia. Diplômé en ingénierie des réseaux de communication de l’Université de Brasilia. Courriel : rafaelrabelo@unb.br

Rédactrice en chef : Nicole Alonso Santos de Sousa elle est étudiante diplômée du Département d’Administration (ADM/FACE) de l’Université de Brasília (UnB) et co-coordinatrice de l’ADM Casoteca. Diplôme de troisième cycle en finance et contrôle (MBA USP/ESALQ). Baccalauréat en administration des affaires (UnB). Courriel : nicolealonso2000@gmail.com

Montage : Luiz Henrique Lima Rodrigues est étudiante en administration des affaires à l’Université de Brasília et co-coordinatrice de l’ADM Casoteca. Directrice des relations 2024 chez Concentro (Fédération des Junior-Entreprises du District Fédéral). Courriel : luizhenriquelima305@gmail.com.

Il s’agit d’une œuvre de fiction, toute ressemblance avec des noms, des personnes, des faits ou des situations de la vie réelle aura été une pure coïncidence. Ce texte est destiné exclusivement à l’étude et à la discussion universitaires, et son utilisation ou sa reproduction sous toute autre forme est interdite. La violation du droit d’auteur est passible des sanctions prévues par la loi n° 9.610/1998.