En matière de cybersécurité, les entreprises sont très loin de la réalité ! Alors qu’elles se croient protégées, la sécurité à 100% n’existe pas. Et le risque ne cesse d’augmenter, tant en qualité qu’en intensité.
Des attaques sur l’informatique se déroulent tous les jours, que ce soit dans les entreprises ou chez les fournisseurs d’infrastructure et de cloud. Au travers des nombreux filtres de sécurité qui jonchent le flux de la donnée, la plupart d’entre elles sont identifiées et bloquées. Mais certaines attaques, qu’elles soient simples ou sophistiquées, savent détourner les protections et se faire par exemple anodines en s’adressant directement à l’utilisateur, qui est une cible de choix tout en inconscience, pour l’inviter à commettre un acte irréparable, assimilable à la remise des clés de l’entreprise aux cyberpirates.
Dans un monde agile et connecté, la problématique de la sécurité devenue cybersécurité s’est déplacée. L’entreprise ne peut pas rester cloisonnée et détachée de ce nouveau monde, en particulier avec la multiplication des outils comme les équipements connectés (devices) à mettre en place. Le business comme les consommateurs les demandent, mais encore faut-il considérer la sécurité pour tous. Et c’est un paradoxe qui s’affiche aujourd’hui : Hormis le fait de tout débrancher, pour mieux se protéger il faut être totalement connecté, car pour la sécurité tout se passe désormais sur internet.
Se poser les bonnes questions
Les entreprises ne disposent pas d’une vue globale sur la sécurité ni sur leur environnement. Quels sont les systèmes en place ? Quelles données protéger, quel niveau de protection apporter à chaque type de données, quels accès protéger, quel chiffrement déployer ? Quelles sont ses faiblesses, jusqu’à quel niveau peuvent-elles être exploitées ? Voilà les questions qu’elles devraient se poser. Mais pour cela, l’entreprise doit connaître son environnement avant de se protéger et de profiter des services de sécurité qui lui sont proposés avec le niveau correct de classification des données.
S’il n’existe pas de protection à 100%, les entreprises doivent être préparées. C’est la cyber-résilience, se tenir prêt à répondre et réagir dans les meilleurs délais. Car n’oublions pas que souvent les attaquants restent silencieuses avant d’être détectées (il faut en moyenne 200 jours pour détecter une attaque…). Les entreprises doivent disposer d’équipes et de services pour monitorer les incidents, identifier ceux qui sont d’une haute criticité, et réagir selon les procédures et tests en place, afin de réduire les conséquences des attaques, voire qu’elles n’aient pas de conséquences sur le business.
Des solutions pour la cyber-résilience
Au-delà des solutions classiques de sécurité de l’informatique, quels que soient leur niveau d’efficacité, un problème subsiste… En effet le système de protection entre très tard dans le processus, généralement il y a une action qu’au moment où la menace se présente, voir même dans certains cas au moment de l’attaque. Pour remédier à cela, l’entreprise se doit donc de partager ses actions entre la prévention et la détection ! Et elle doit s’être préparée à agir, à l’image des exercices d’incendie. Les solutions pour monitorer la sécurité existent, elles permettent par exemple de repérer une entrée non autorisée. Tout ce qui est sur le réseau laisse des traces.
Il faut disposer de solutions pour détecter si le comportement d’un utilisateur n’est pas habituel. Connecté au SIRH (système informatique des RH), le monitoring va par exemple détecter que l’administrateur qui se connecte est en congés, analyser si l’alerte alors déclenchée est réelle, et engager une intervention immédiate. Autre exemple pour détecter une anomalie, le comportement des bots (robots qui automatisent les attaques) qui sont différents de ceux des utilisateurs. C’est dans ces cas que le système va vérifier au travers des différences comportementales que leur accès est ‘non autorisé’. C’est ainsi que l’on pourra réduire le temps de détection de 200 jours à quelques minutes, quelques heures ou au maximum quelques jours.
Des compétences et des responsabilités
Qui est responsable ? La sécurité est partagée entre le responsable sécurité et le responsable IT, entre le RSSI et le DSI. Mais la cybersécurité de l’entreprise ne peut pas s’appuyer que sur deux personnes, si l’objectif est de disposer des services attendus. Comme être active 24/7, et avoir des personnes prêtes à intervenir immédiatement sur les opérations. C’est également une question de compétence dans l’entreprise. La sécurité doit engager une coopération étroite de ces deux composantes, RSSI et DSI, avec les opérations, les métiers, et plus généralement le business qui quoi qu’il arrive est impacté.
Une entreprise peut bien évidemment implémenter des solutions dans son SI, à la condition de disposer des moyens d’y accéder et d’experts pour les accompagner. Ce background d’experts œuvre sur un travail qui pourtant, dans les limites de l’entreprise, présente peu d’intérêt. Se posera alors inévitablement la question de conserver ces experts dans l’entreprise. La solution est de se tourner vers des services externes, aujourd’hui dans le cloud. Ces fournisseurs proposent plusieurs plateformes qui offrent une diversité et un intérêt du travail quotidien, la formation continue, et une fréquence des alertes plus élevée que sur un seul client.
Les solutions de cybersécurité s’adaptent et se tournent aujourd’hui vers des modèles hybrides, avec des données et des services internes, et également chez des fournisseurs externes et des services cloud. La sécurité est comme la compliance, au final c’est toujours le client qui est responsable. En cas d’attaque, c’est sa responsabilité et son image qui sont engagées. En choisissant un partenaire de qualité, pour travailler ensemble, partager les retours d’expérience des experts, assurer la corrélation les alertes, et réduire les coûts, l’entreprise agit dans le sens de la centralisation et de la vue globale sur sa sécurité. Avec l’engagement et la performance de son partenaire, elle change les paradigmes de sa cybersécurité, enfin tournés vers la gestion du risque, et non plus vers la seule sécurité après l’attaque, comme cela se pratique depuis trop longtemps...