Par Renaud Deraison, Cofondateur et CTO chez Tenable
Les données sont de plus en plus importantes dans le commerce international. Il est temps pour les gouvernements et l'industrie de définir et de suivre une approche axée sur la cybersécurité pour les protéger.
Les données sont l’huile de coude qui permet à la machinerie moderne du commerce mondial d'évoluer rapidement et efficacement. Sans elles, les chaînes d’approvisionnement mondiales seraient paralysées, les marchés boursiers cesseraient leurs activités et les transactions les plus simples deviendraient intenables.
Selon une étude McKinsey de 2017, le volume des flux de données, mesuré en téraoctets par seconde, a été multiplié par 45 depuis 2005, pour atteindre environ 400 To par seconde fin 2016. Les analystes de McKinsey constatent que « les flux mondiaux de biens, de services, d’argent, de personnes et de données ont augmenté le PIB mondial d'au moins 10 % au cours de la dernière décennie, ajoutant 8 billions de dollars américains au PIB en 2015 ».
La valeur des données dans l'économie mondiale est un sujet majeur, pour les dirigeants d'entreprise ou les gouvernements. Lorsque des données critiques sont rendues inaccessibles - comme ce fut le cas lors des attaques de 2017 impliquant NotPetya et WannaCry - les conséquences financières et humaines sont indéniables. Selon certaines estimations, les dommages attribués à NotPetya dépassent les 10 milliards de dollars, tandis que WannaCry aurait coûté entre 4 et 8 milliards de dollars.
Pourtant, nous continuons de voir des organisations des secteurs public et privé suivre une approche superficielle, et souvent malavisée, pour faire face aux menaces de cybersécurité inhérentes à notre chaîne d’approvisionnement digitale. Cela se manifeste de trois façons principales :
1Pensée magique.
Les organisations continuent d'investir dans une vaste gamme d'outils à la recherche de la technologie de cyber-protection parfaite, mais négligent les principes de base de la cyber-hygiène. Selon le rapport 2018 Attacker's Advantage de Tenable Research, les cybercriminels disposent d’une fenêtre de sept jours en moyenne pour exploiter une vulnérabilité (vol de données sensibles, activation de ransomware, etc) avant que les organisations ne prennent les premières mesures pour évaluer leur cyber-exposition et si elles sont à risque. Certains pirates qui ont fait la une des journaux ces dernières années sont restés cachés dans les systèmes de données jusqu'à deux ans sans être détectés. Tout cela parce que les entreprises ne veulent pas voir les risques et négligent les bases de la cybersécurité.
2Réponses asymétriques.
Dans la plupart des cas, une cyberattaque ressemble à une souris qui mâchonne un câble pour faire tomber le réseau électrique. On peut bien sûr la tuer avec l’artillerie lourde, mais à quel prix pour l’infrastructure ? Les organisations les plus matures utilisent une approche stratégique pour évaluer les vulnérabilités. Elles procèdent fréquemment à des évaluations de vulnérabilité couvrant l’ensemble de leurs actifs, ainsi qu'à des évaluations ciblées et personnalisées pour différents groupes d'actifs et départements. En d'autres termes, ils chassent la souris hacker avec des snipers, pas des bombardiers. Seules 5% des organisations ont un style d'évaluation de la vulnérabilité mature.
3Faible hiérarchisation des priorités.
Les équipes de cybersécurité sont confrontées chaque jour à une avalanche d'alertes, mais les méthodes d'évaluation actuelles rendent difficile la compréhension et, par conséquent, l'établissement des priorités pour les CVE qui présentent le plus grand risque. 15 038 CVE ont été publiés en 2017, contre 9 837 en 2016, soit une augmentation de 53 %. Le décompte des CVE de 2018 est toujours en cours et devrait se poursuivre pendant quelques mois – il devrait y en avoir un peu moins de 18 000, soit une augmentation d'environ 15 % par rapport à l'année précédente. Environ 7% des CVE sont exploités, et un sous-ensemble encore plus petit est activement utilisé par les pirates. Trouver et corriger ces 7 % est essentiel pour réduire l'exposition d'une organisation à la menace cybernétique - et toujours difficile à réaliser.
Le rapport de 2018 du Forum économique mondial sur les risques mondiaux classe les cyberattaques au troisième rang des risques mondiaux en termes de probabilité, derrière les phénomènes météorologiques extrêmes et les catastrophes naturelles. Cependant, la cybernétique manque encore de ressources par rapport à l'ampleur potentielle de la menace. En effet, le Cyber Risk Report 2018, réalisé par Ponemon Research pour le compte de Tenable, révèle que 58 % des plus de 2 400 répondants à l'enquête ne disposent pas du personnel suffisant pour analyser les vulnérabilités en temps opportun. Plus de la moitié (51 %) déclarent que leurs équipes de cybersécurité sont en outre entravées par le recours à des processus manuels.
Il faut aussi considérer l’aspect institutionnel : la sécurité du commerce international n’est pas seulement une question de réglementation, les Etats doivent aussi envisager des moyens d’éviter les affrontements inutiles, et les organisations doivent être proactives dans leur collaboration avec les Etats. C’est pour cela que plusieurs membres de l’industrie de la cybersécurité se sont réunis pour plaider en faveur d'un langage plus efficace pour la cybersécurité dans l’ACEUM (traité qui remplacera l’ALENA) récemment annoncé entre les États-Unis, le Mexique et le Canada. Le langage utilisé souligne l'importance cruciale de la cybersécurité dans le commerce international et empêche les signataires de détourner la politique de cybersécurité pour restreindre commerce de façon injuste.
Nous croyons qu'une approche encore plus robuste est nécessaire, une approche qui commence au niveau du conseil d'administration et qui intègre l’aspect du commerce qu’est la cyber exposition dans toutes les activités de l’organisation. Il est temps pour les gouvernements et l'industrie de définir une approche axée sur la cybersécurité pour protéger les précieuses données qui alimentent le commerce mondial. Cette approche exige que les dirigeants des organisations adoptent une stratégie qui reconnaisse la place de la cybersécurité, au premier rang des risques économiques et aux côtés des catastrophes naturelles et d'origine humaine. Le rapport du Forum économique mondial de décembre 2018 Our Shared Digital Future explique que « même au-delà des implications économiques (par exemple sur la propriété intellectuelle ou la stabilité financière), une sécurité améliorée est nécessaire pour protéger l'intégrité d'un large éventail de valeurs sociales, tels que les droits fondamentaux, la vie privée et les processus démocratiques. » Il m’ôte les mots de la bouche.