Le cybercrime s’est progressivement industrialisé à travers le monde. Dans ce contexte, la France n’est pas épargnée, comme l’ont montré, ces derniers mois, plusieurs attaques sans précédent sur les institutions publiques : France Travail (43 millions de personnes, l’Assurance maladie (33 millions d’assurés), le CHU de Rennes ou encore Météo France.
2024 est aussi une année marquée par un contexte vraiment unique sur le plan de la sécurité sur le territoire français, principalement en raison de l’organisation des Jeux Olympiques - sans oublier la tenue des élections européennes et législatives, autres sources de tension. Les JO s’accompagnent en effet d’une multitude de menaces : risques terroristes, sécurité physique, et bien sûr cyberattaques.
Ce n’est pas un hasard si la dernière édition des Jeux, au Japon en 2020, a totalisé plus de 450 millions de tentatives de cyberattaques selon NTT, un chiffre qui devrait connaître une augmentation exponentielle cette année. Le Comité et le pays s’y préparent, avec un budget de plus de 10 millions d’euros alloués par l’ANSSI pour réaliser des audits de sécurité depuis plusieurs mois.
Les failles de cybersécurité sont souvent d’origine humaine
Aujourd’hui, le sujet des menaces de cyberattaques est encore trop souvent réduit à la question de la gestion des CVE (Common Vulnerabilities and Exposures), ces référentiels qui listent toutes les failles connues, selon leur périmètre et leur niveau de gravité propres. Dès lors, les utilisateurs concentrent leurs attentes sur le fait de pouvoir s’appuyer sur un système qui leur permette de lutter contre ces CVE et de rester à jour face aux risques de failles.Pourtant, considérer les CVE comme la principale source de menace revient à occulter un pan entier de la réalité. En effet, la majeure partie des problèmes de sécurité qui débouchent sur une attaque relèvent plus souvent d’une mauvaise configuration. C’est notamment la conclusion du rapport 2024 de Verizon sur les violations de données, selon lequel 68 % des compromissions ont une origine humaine involontaire.
Pourquoi ? Parce que les configurations sont souvent faites de façon manuelle. Or, par définition, la faille est humaine, qu’il s’agisse des pratiques de social engineering, de plus en plus répandues, mais aussi et surtout des failles introduites durant la réalisation d’opérations techniques, avec la mise en place de mauvaises configurations, qui contribuent à ouvrir de nouvelles portes pour de potentielles attaques.
Choisir l’automatisation pour gagner en sécurité
Dès lors, comment diminuer ce risque lié aux opérations techniques défaillantes ? L’une des réponses les plus efficaces serait d’automatiser, c’est-à-dire de rendre automatique ces actions auparavant réalisées par des humains, en centralisant la procédure au sein d’un système d’automatisation unique, capable de le répliquer sans limite dans le temps et dans le nombre.L’automatisation permet de réduire la probabilité d’erreurs, ce qui se traduit par des configurations plus fiables. De leur côté, les utilisateurs peuvent, grâce à l’automatisation, se désengager des tâches à faible valeur ajoutée et se concentrer pleinement sur les enjeux de sécurité ou sur leur cœur de métier.
En plus de renforcer la sécurité des systèmes, elle contribue également à simplifier trois autres paramètres aux utilisateurs : d’abord, la gestion des droits accrédités, pour restreindre les accès aux utilisateurs disposant d’une autorisation et donc limiter le risque potentiel. Ensuite, une plus grande réactivité en cas d’identifications de vulnérabilités, afin de « patcher » un système défaillant (c’est-à-dire le corriger provisoirement en attendant une mise à jour) rapidement et en une seule fois pour l’ensemble des systèmes concernés.
Et enfin la gestion de la conformité aux nouveaux règlements comme DORA ou NIS2, qui concernent ou concerneront très bientôt l’ensemble des entreprises issues des secteurs identifiés comme stratégiques. L’automatisation permet de mettre en place des procédures de vérification du respect de chaque exigence réglementaire dans l’intégralité de chaque système, et de pouvoir mettre à jour ce cadre en cas d’évolution de la réglementation.
Par Thomas Belarbi, Sales Director, Secteur public chez Red Hat
