La transformation digitale des entreprises et la migration de tout ou partie de leur informatique sur le cloud changent la donne en matière de cybersécurité. L’adoption d’une démarche de sécurité ‘as-a-Service’ s’impose comme une évidence.
Si nous devions réaliser un portrait de la cybersécurité à aujourd’hui, comme vous l’imaginez il ne serait pas reluisant ! Non que les organisations ne s’en préoccupent pas ni ne multiplient les déploiements de moyens pour se protéger, mais c’est une guerre permanente qu’elles livrent contre les pirates, tandis que ceux-là multiplient les attaques, les vols de données, les ransomwares, l’espionnage industriel, etc. Ainsi, 92 % des grandes entreprises françaises ont enregistré au moins une attaque au cours des 12 derniers mois (1). Le paysage des attaques classé selon leur croissance en 2018 est de 53 % pour les attaques ciblées par hameçonnage ; 49 % pour les comptes à privilèges non sécurisés ; 44 % pour les menaces internes ; 31 % pour les données non sécurisées stockées sur le cloud ; et 28 % pour les ransomwares et logiciels malveillants (2).
La forte médiatisation des incidents de sécurité depuis deux ans, dont certains ont durement touché des entreprises françaises de premier plan, a eu le mérite de générer une prise de conscience par les entreprises de la menace qui s’amplifie. Et qui se durcit dans ses aspects technologiques, entrainant une guerre permanente entre les attaquants et les défenseurs. 71 % des entreprises dans le monde font le constat d’une augmentation des cyberattaques dont elles sont victimes (3). Ainsi que des réflexions nouvelles et stratégiques sur la priorité à accorder à la sécurité.
Ajoutons à cela l’évolution des environnements réglementaires dans de nombreuses zones géographiques. En particulier en Europe avec le RGPD/GDPR, le règlement européen sur la protection des données personnelles, qui impose aux organisations, qu’elles soient publiques ou privées, de se mettre en conformité, là encore accompagnée d’une prise de conscience. Mais qui va également plus loin avec le rappel de la responsabilité des dirigeants, comme des responsables de l’informatique dans l’entreprise et chez ses partenaires. Rappelons que 57 % des entreprises françaises admettent que les données confidentielles ou les informations personnelles identifiables (IIP) de leurs clients sont potentiellement menacées parce que leurs données ne sont pas protégées au-delà du minimum légal (2).
Penser autrement la cybersécurité
Face aux menaces qui ne cessent de grandir, les entreprises doivent repenser la sécurité. L’informatique ne se consomme plus selon les mêmes modèles, l’infrastructure se décline désormais et de plus en plus dans le cloud, et les DSI comme les responsables de la sécurité doivent se consacrer à la valeur ajoutée de leurs services, ce qu’ils peuvent difficilement justifier s’ils doivent se concentrer sur les attaques après coup au lieu de se montrer proactifs et de permettre l’anticipation.
Cela entraine trois priorités :
- Sécuriser les infrastructures internes, hébergées et dans le cloud
Auparavant, la sécurité consistait à fermer tous les accès. Aujourd’hui, il est impossible pour l’entreprise moderne et qui se transforme d’adopter la même stratégie. D’abord parce que l’infrastructure est virtualisée et se retrouve dans le cloud. Ensuite parce que les usages se portent sur la mobilité, et que l’entreprise comme ses forces vives sont désormais dispersées hors du périmètre de son informatique.
- Une défense proactive et réactive
La complexité des attaques, leur personnalisation par vagues de faible ampleur, et la volonté des pirates de contourner les défenses et l’attention des destinataires des attaques, sans écarter les défenses traditionnelles qui continuent de s’imposer, appellent à de nouvelles stratégies de défense, comme l’Intelligence Artificielle reposant sur les analytiques en Big Data, afin d’être proactif en repérant les signaux faibles, et réactif en protégeant immédiatement et automatiquement le système d’information.
- La recherche de compétences
Le développement exponentiel des attaques s’accompagne de la nécessité de faire évoluer les défenses sur le même rythme, une démarche qui cependant se heurte à la pénurie de compétences. Les experts cybersécurité sont d’abord recrutés par les organismes publics, et par les grands groupes et grands acteurs de la sécurité. La pénurie est telle que l’entreprise est le parent pauvre des cyber-compétences en cybersécurité.
Security-as-a-Service
L’entreprise doit aujourd’hui raisonner différemment sur la sécurité de son informatique, de ses données et de ses hommes. Le plus important aujourd’hui est désormais de détecter les menaces le plus rapidement possible et de sécuriser ce qui est essentiel. Et cela au moindre coût, évidemment. Car certaines techniques de défense, comme le SOC (Security Operations Center) et le honeypot (infrastructure leurre qui permet de détecter les attaques), restent réservées aux grandes entreprises qui en ont les moyens, ou alors n’évoluent pas assez, 61 % des entreprises françaises ne modifient que rarement leur stratégie de sécurité de manière significative, même après avoir été victimes d’une cyberattaque ! (2).
Proposer un catalogue de services, solutions et partenaires parmi les meilleurs du marché, mutualiser les compétences et les défenses, les bases de compétences, et la détection anticipé, est aujourd’hui possible, proposé par le partenaire de confiance de l’entreprise pour un prix réduit qui répond aux attentes et aux moyens des grandes entreprises comme des entreprises du mid market. C’est le Security-as-a-Service, la cybersécurité proposée sous la forme d’un service dans le cloud. 62 % des grandes entreprises ont commencé à utiliser avec succès des services de sécurité sur la base de solutions Cloud et en mode SaaS (3).
C’est la mutualisation de l’offre dans le cloud qui permet d’obtenir ce prix réduit par comparaison avec les lourds investissements que représenterait pour l’entreprise un niveau de sécurité équivalent à celui offert par le catalogue. De même, et c’est là le moindre des paradoxes, alors que la sécurité est le premier obstacle pour aller dans le cloud, le cloud est aujourd’hui le premier motif pour y aller ! Ajoutons à cela qu’avec l’infrastructure de plus en plus fournie par le cloud, c’est naturellement que la sécurité ‘as-a-Service’ s’impose.
Se pose cependant la question de l’excellence du prestataire de Security-as-a-Service. Nombreux sont ceux qui s’intéressent à ce marché en fort développement, mais 53 % des entreprises françaises estiment que leur prestataire de services cloud ne leur assure pas une protection appropriée (2). C’est pourquoi il faut s’assurer que le prestataire dispose d’experts en qualité et en quantité, de partenaires parmi les meilleurs, et d’un vrai catalogue avec également les meilleures solutions. La sécurité de son SI, de ses données et de ses utilisateurs est à ce prix.
1 – CESIN (Club des experts de la sécurité de l'information et du numérique)
2 - Etude annuelle ‘CyberArk Advanced Threat Landscape’ par Vanson Bourne
3 – Deloitte
Image d’entête 622920142 @ iStock KrulUA