A la veille du FIC 2018, les experts de Deloitte nous proposent leur vision des 5 tendance de la cybersécurité. Au programme : la généralisation des cyberattaques ; les cyber-assurances ; l’humain ; la technologie ; et les nouvelles règles.
71% des entreprises font le constat d’une augmentation des cyberattaques dont elles sont victimes. Et 75% d’entre elles affirment avoir adopté de nouvelles mesures de sécurité après les cyberattaques Wannacry et Petya.
Pour Deloitte, les collaborateurs portent une lourde responsabilité car le risque humain est majeur en matière de cybersécurité (lire : « Cybersécurité : la lutte s’organise mais l’humain reste faible »). Une priorité devrait porter sur la formation et la sensibilisation des collaborateurs de l’entreprise.
Deloitte a décliné son étude sous la forme de 5 tendances dans la cybersécurité, que nous évoquons ci-dessous.
La généralisation des cyberattaques
Les entreprises interrogées confirment la hausse du nombre de cyberattaques dont elles font l’objet. Il a fallu cependant des attaques mondiales comme Wannacry ou Petya pour qu’elles réagissent et prennent des mesures de sécurité supplémentaires pour renforcer leurs systèmes d’information suite à ces événements.
Les cyberassurances contre les cybermenaces
La généralisation des cyberattaques suppose désormais d’appréhender la cybersécurité sous un nouvel angle. Le risque zéro n’existant pas, les répercussions d’une cyberattaque doivent être traitées sous deux aspects : l’organisation doit envisager une réponse à incident à court, moyen et long terme pour un rétablissement durable de l’activité ; et elle doit prévoir les assurances à souscrire pour couvrir les éventuels dommages.
Souscrire à une cyberassurance permet de minimiser l’impact financier suite à un incident, mais également d’effectuer une évaluation préalable du niveau de risque de sécurité pour ainsi connaître le niveau de maturité de son système d’information et ses différentes vulnérabilités. Cette évaluation, pleinement partagée avec le métier, permettra d’appréhender l’écosystème informatique d’un point vue cybersécurité (données personnelles, réglementation, accès, etc.) et de bénéficier ainsi d’une meilleure assurance.
L'humain au cœur de la cybersécurité
63% des incidents de sécurité proviennent d’un collaborateur actif au sein des effectifs. Le système informatique hautement sécurisé d’une entreprise peut être mis à mal très rapidement par une action malintentionnée ou une erreur de la part d’un employé.
Il est donc primordial de s'assurer que chaque collaborateur ne possède pas de droit d'accès étendu non nécessaire, mais aussi d'évaluer les actifs informationnels les plus critiques pour mieux les sécuriser. En outre, il est nécessaire de disposer d'experts en cybersécurité qui seront à même de conduire les programmes de sécurité au sein même de l'entreprise (politique, procédure, outils, sensibilisation, etc.).
Le recrutement, la formation et la rétention des talents sont, certes, une problématique d’actualité chez les entreprises, mais elle est d’autant plus accentuée lorsqu’il s’agit de la cybersécurité pour les deux aspects suivants : la faible disponibilité des experts en cybersécurité au regard de la forte demande des entreprises souhaitant recruter et se renforcer massivement sur ce secteur ; la formation sur la nature des nouvelles cybermenaces et donc la rétention constante de ces experts, une fois recrutés.
Une bonne politique de gestion de la cybersécurité pour une entreprise reposera sur l’implication du management pour définir les rôles et responsabilités adéquats mais aussi pour initier les programmes de sensibilisation et formation des collaborateurs. Plus spécifiquement, les actions suivantes peuvent être mises en œuvre : la création d’une fonction de type « RSSI » transverse à l’ensemble de l’organisation qui sera responsable des programmes en lien avec la sécurité, et l’adoption d’un dispositif de gestion du risque cyber par l'intermédiaire d'un cadre de type ISO 27001.
Les technologies au service de la cybersécurité
A l’heure où les menaces de cyberattaques sont de plus en plus présentes avec des typologies d’attaques en constante évolution, les entreprises doivent dorénavant repenser leur outillage et introduire des fonctionnalités nouvelles et à la pointe de la technologie.
Ainsi, les services de sécurité sur la base de solutions Cloud et en mode SaaS sont utilisés par 62% des entreprises interrogées. Les fournisseurs Cloud proposent de plus en plus de garantie en termes de sécurité et de protection des données. L’utilisation d’une architecture Cloud permet également des capacités de stockage et de traitement de données très importantes et nécessaires pour la gestion des événements de sécurité.
Encore faiblement utilisée par les entreprises (41%), la Data peut être intéressante pour la prédiction de cyberattaques, notamment pour le monitoring des menaces et la prédiction des attaques, mais aussi pour la réponse à un incident avec l’analyse et l’audit des logs. Les entreprises et éditeurs de logiciels pensent aussi à utiliser l’Intelligence Artificielle pour rendre la prédiction de cyberattaques plus efficace et introduire des actions de remédiation en temps réel pour stopper l’incident.
Enfin, le mot de passe seul n’étant plus une solution, des moyens alternatifs pour se connecter aux applications et données critiques sont à l’ordre du jour. L’utilisation, par 31% des entreprises interrogées, d’un deuxième facteur d’authentification (sms, biométrie, etc.) pour la connexion des employés ou tiers (fournisseurs, clients) permettra de réduire significativement le risque de fraude tout en améliorant l’expérience utilisateur.
Les nouvelles règles face aux nouveaux risques
Le renforcement significatif des contraintes réglementaires est fortement lié à la généralisation des cyberattaques et fuites de données au sein des entreprises.
Parmi les principales réglementations :
- Le RGPD (Règlement général sur la protection des données), qui entrera en vigueur en 2018, oblige les organisations à s’assurer du consentement explicite des individus quant à l’utilisation qui sera faite de leurs données. Ce sont déjà 91% des entreprises interrogées qui ont initié des actions pour se conformer au RGPD.
- La LPM (Loi de Programmation Militaire), entrée en vigueur en juillet 2016, concerne 200 entreprises classées « Opérateurs d’Importance Vitale » (OIV) qui sont tenues de renforcer leur niveau de sécurité (contrôles réguliers, détection des événements, alerte suite à un incident) sous peine de dispositions pénales.
- La DSP 2 (Directive sur les services de paiement 2), entrée en vigueur en janvier 2018, définit les règles concernant les nouveaux acteurs sur le marché des paiements (FinTechs). Les services d’agrégation d’information et d’initiation de paiement sont dorénavant encadrés et des mesures de sécurité exigées (sécurisation des API, authentification forte, etc.).
- Le programme sécurité de SWIFT prévoit un ensemble de standards de sécurité qui deviendra obligatoire dès janvier 2018. Chaque membre SWIFT sera tenu de publier une auto-attestation annuelle faisant état du respect des points de contrôle obligatoires (sécurisation de l’environnement, contrôle et limite des accès, détecter et répondre).