1 entreprise sur 2 a déjà fait face à une cyberattaque. WP* (lexique en fin de tribune, allez au bout et vous saurez !), diraient les gamers aux cybercriminels. Or, si le manège est moyennement drôle pour le quidam dont le compte bancaire est piraté, le jeu se corse grandement dans le cadre professionnel. Réputation de l’entreprise, vol de données, extorsion d’argent, usurpation d’identités, espionnage économique… Après une cyberattaque, les Systèmes d’Information peuvent être tellement impactés qu’il n’est plus possible de produire ou de faire fonctionner l’entreprise. Une toute petite structure peut-elle d’ailleurs s’en relever ? Pas si sûr. Le pire dans tout cela, c’est que l’erreur vient le plus souvent… des collaborateurs eux-mêmes. Car si les hackers opèrent par intrusion via différentes techniques plus ou moins sophistiquées, dans plus de 70% des cas, ils pénètrent les systèmes grâce au phishing. La bien-nommée technique d’hameçonnage, en bon français, désigne une technique destinée à leurrer l'internaute pour l'inciter à communiquer des données personnelles en se faisant passer pour un tiers de confiance… Bref, souriez, vous servez d’appât.
L2P*
En dépit de l’ampleur de ces risques, la sécurité des données et des systèmes est souvent confiée à des équipes internes dont le degré de maturité n’est pas toujours optimal, si ce n’est faible. De surcroît, ces dernières ne sont pas toujours entendues lorsqu’il s’agit de prioriser certaines lignes budgétaires dédiées à la sécurité. Légalement, ce sont pourtant les dirigeants des entreprises qui sont responsables de la sécurité des données. Au vu des risques considérables et des responsabilités engagées, il est urgent de prendre conscience qu’une cyberattaque n’arrive pas qu’aux autres ! Il est au contraire plus réaliste de se demander comment… et surtout quand elle va arriver.Si la partie a été pliée en 2021, il est donc plus que temps de reprendre le joystick pour gagner la suivante. Pour cela, les chefs d’entreprises ont deux solutions. Soit internaliser la protection des données en nommant un RSSI (Responsable de la Sécurité des Systèmes d’Information), pouvant être rattaché à la Direction générale ou, dans certains cas de figure, à la DSI. Soit faire appel à un intervenant externe. Mais quoi qu’il arrive, si vous voulez vous assurer de remporter la partie, mieux vaut connaître les règles du jeu d’un bon partenariat. Voici les plus élémentaires.
Règle 1 : N’insistez pas sur le label “cut-scene”*
Le label est un très bon indice. Mais il ne se suffit pas à lui-même. Beaucoup de petites structures n’ont pas la certification ISO 27 001, faute de temps et de moyens… Elles n’en sont pas moins compétentes sur leur secteur d'activité. Sans label, il est nécessaire d’utiliser des techniques plus classiques pour vérifier la fiabilité de son futur partenaire.Règle 2 : Chassez les “skillés”*
Pensez donc à demander des références à votre futur partenaire de jeu, à engager la discussion longuement, notamment pour bien se mettre au clair sur les attendus. Si possible, procurez-vous des livrables déjà réalisés pour vous faire une idée plus concrète de l'étendue de ses capacités techniques. Il faut également s’assurer que votre futur partenaire a bien compris les particularités de votre écosystème. Pour dissiper tout malentendu ultérieur, vous pouvez lui demander de récapituler vos besoins par écrit.Règle 3 : Dénichez votre “hardcore player”*
Le schéma complet de reprise après une cyberattaque se réfléchit et se teste. C’est un document précis, écrit à l’avance, avec un scénario à jouer chaque année, afin de s’assurer de son bon déroulement et l’amender le cas échéant. De nombreux sujets sont à étudier en avance : le plan de communication, la sécurité des fichiers de sauvegarde, le niveau des assurances, les avocats spécialisés, la remise en route de l’ensemble des productions, etc. Votre partenaire doit vous accompagner et anticiper un éventuel blackout. Assurez-vous d’avoir choisi une entreprise suffisamment armée pour vous accompagner dans cette aventure.Règle 4 : Cherchez un “farmer”*
Pas de cybervigilance sans cyberveille. Le monde de la cybersécurité est extrêmement vivant. Il se réinvente sans cesse. Votre partenaire doit régulièrement partager avec vous les failles qu’il découvre et la protection qu’il compte mettre en place pour vous en protéger. Le niveau de communication se doit d’être plus élevé que chez un prestataire classique. De votre côté, il est important de suivre cette actualité pour être capable de comprendre et d’arbitrer en cas de besoin. Il existe des clubs, comme le Cesin, qui permettent de faire un état des lieux mensuel sur la cybercriminalité. Indispensable si l’on souhaite une communication fluide avec son prestataire cyber.Règle 5 : Composez votre STR*
L’équipe de votre partenaire de sécurité informatique doit être composée de profils variés. Même s’il faut faire preuve de prudence, l’idée de recruter un hacker “éthique”, qu’il soit repenti de l’arnaque digitale ou non, ne doit pas être écartée. Expert en tests d'intrusion, il détecte les failles des systèmes informatiques en s'y infiltrant. Le manager en gestion de cyber-crise campe également un avatar particulièrement intéressant : il a pour but de coordonner les équipes après la survenue d'une attaque, afin d'assurer le maintien de conditions opérationnelles. L’architecte de sécurité informatique, spécialisé dans la sécurité conception sécurisée de réseaux et/ou structures systèmes/Web, propose quant à lui des mesures correctives à la suite de cyberattaques. C’est un peu le “master mind”* qui dessinera la maquette de votre protection digitale.Règle 6 : Faites un combo* gagnant
En évaluant les offres de partenariat sur la base de ces critères, votre entreprise aura un haut niveau de protection, pour un “combo gagnant”. Il faudra néanmoins rester vigilant au fil des mois et des années. Les technologies et donc les failles évoluent très vite. L’agresseur et l’agressé repoussent sans cesse les frontières de l’innovation, l’un pour rendre perméable le Système d’Information, l’autre pour l’étanchéifier.L’arrivée du Web 3 dans les années à venir et notamment la technologie de la blockchain pourront assurer une plus grande sécurité, car les attaques deviendront quasi impossibles. Mais il est certain que les nouvelles technologies charrieront aussi leur lot de nouvelles failles, encore inconnues aujourd’hui. Le monde de la cybersécurité se transforme à très grande vitesse. La prise de conscience est urgente et une vigilance extrême est de rigueur. Entreprises, dirigeants, RH : c’est le moment de jouer IRL*. Voir de la jouer aggro*.
La frontière est mince entre la cybersécurité, qui s’apparente à une sorte de jeu du chat - les cybercriminels - et de la souris - vous ou votre entreprise - en version digitale et les jeux vidéo. Sauf que c’est un jeu où on ne peut absolument pas se permettre de perdre, un jeu où il faut tout faire pour que le chat, comme dans Tom & Jerry, soit battu à tous les coups.
Lexique du gamer :
WP (well-played) : Bien joué. Acronyme utilisé pour féliciter ses coéquipiers ou adversaires après une partie.L2P : Acronyme de “Learn to play”, littéralement '’apprend à jouer”, en français. On l’utilise quand un coéquipier est relativement, voire très mauvais.
Cut-scene : Séquence intermédiaire à vocation narrative, qui intervient entre deux séquences de jeu. Aussi appelée cinématique.
Hardcore player : Joueur acharné
Skillé : Joueur très talentueux : « il a du skill » / « ce joueur est skillé ».
Farmer : Farmer signifie “faire le fermier”. Chez les gamers, cela signifie prendre du temps de jeu pour récolter de l'argent, des objets, ou de l'expérience en répétant sans cesse les mêmes actions, en visitant les mêmes donjons ou en tuant le même groupe d'ennemis.
STR : Jeux de stratégie où l’action est immédiate (sans pause). Ils se jouent principalement sur ordinateur.
Master mind : “Esprit maître”, véritable “cerveau” d’une opération.
Combo : Abréviation de combinaison. Désigne un enchaînement de coups, surtout dans un jeu de combat.
IRL : “In real life”, dans la vraie vie.
Aggro : Acronyme d’agressif.
Par Marc Lestienne, DSI adjoint du groupe Prodware