L’impact de la menace numérique devient de plus en plus fort. Selon Allianz, la perte moyenne assurée d’un cyberincident s’élève dorénavant à un peu plus de 2 millions d’euros. Mais encore trop d’entreprises pensent être à l’abri ou épargnées par les cybercriminels. Principal argument : elles n’ont « rien à pirater ». Mais en sont-elles sûres ? Pour assurer sa résilience, il est indispensable de mettre en place une politique de sécurité proactive.
Vendredi 15 novembre, un « cryptovirus » paralyse l’activité du CHU de Rouen. Afin d’éviter que le code malveillant ne se propage à l’ensemble du Système d’information, l’arrêt de tous les ordinateurs est rapidement décidé.
Éteindre le système entier n’est pas anodin pour un CHU, où tout est informatisé : les admissions, les prescriptions, les analyses, les comptes rendus… Une plainte contre X a été déposée. Aucune demande de rançon n’a été demandée par les pirates.
Dans d’autres cas, les cybercriminels en ont exigé. Quelle que soit l’origine d’une cyberattaque, cette action malveillante a un impact fort.
Selon le « Global Risks Report » 2019 d’Allianz, la perte moyenne assurée d’un cyberincident s’élève dorénavant à un peu plus de 2 millions d’euros, contre près de 1,5 million d’euros pour un incendie ou une explosion.
Le cout des cyberattaques n’est donc plus négligeable. Et le ROI sur la sécurité n’est pas compliqué à obtenir : il suffit de connaitre le cout d’une journée de production. La situation ne devrait pas s’arranger : selon une étude du Gartner, 95 % des DSI s’attendent à une augmentation des cybermenaces durant les 3 prochaines années.
Anticiper les risques
Le périmètre d’une entreprise ne cesse d’évoluer, en dimension et donc en complexité. Par exemple, il est très facile pour un pirate de s’attaquer à un SI industriel puisqu’il n’a pas été conçu, à l’origine, pour résister à des tentatives d’intrusion.
Dans ce contexte, il est nécessaire d’appliquer des bonnes pratiques et de déployer des solutions techniques pour mieux se protéger et, surtout, anticiper les risques. Des audits réguliers doivent être organisés afin de repérer rapidement les faiblesses de son SI, mais également celui de ses sous-traitants.
Ce sont les fameuses « attaques par rebond ». « Les attaquants passent maintenant par les fenêtres. Et il y a beaucoup de fenêtres », a rappelé récemment Guillaume Poupard, le directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
La sensibilisation de tous les collaborateurs par des formations demeure une étape prioritaire, car l’être humain reste encore trop souvent le maillon faible. La sécurité n’est pas innée ; elle s’apprend. Il faut régulièrement faire des tests simulant une attaque de phishing. Or malgré ces tests récurrents, certaines organisations atteignent encore des taux d’ouverture des emails indésirables compris entre 10 et 20 %.
La sécurité doit être globale
Autre mesure indispensable : la protection de ses applications et données dans le Cloud. La moitié des entreprises qui utilisent le service de stockage de Cloud Amazon Web Services (AWS) S3 ont subi au moins une fuite de données en 2017. Il faut donc les chiffrer, mais également identifier et contrôler tous les accès… Le cloisonnement est une mesure fortement recommandée.
La sécurité doit être globale, car, tôt ou tard, une entreprise sera attaquée.
En fonction de l’état des lieux et du niveau de maturité constaté par un audit, il faudra agir concrètement et efficacement. Un antivirus et un pare-feu ne permettent plus de répondre aux menaces actuelles.
Il est indispensable de déployer rapidement les correctifs de sécurité de tous ses logiciels et systèmes d’exploitation (fixes et mobiles), de porter une attention particulière à certains points considérés comme vulnérables (en particulier les endpoints serveurs et postes de travail), de se mettre en conformité avec le RGPD…
C’est à la direction de l’entreprise de prendre conscience des menaces numériques. Il ne s’agit pas de leur faire peur, mais de leur montrer ce qui se passe réellement tous les jours. Le promoteur du projet visant à renforcer la résilience reste la direction.