Gouvernance, le nerf de la guerre
Premier point saillant, la résistance aux cyberattaques va de pair avec une bonne gouvernance, point essentiel dans la mise en œuvre même de la cybersécurité, tant d’un point de vue technique que budgétaire. D’ailleurs de nos jours, le RSSI n’est plus considéré comme un « frein » : il est la plupart du temps rattaché directement à la Direction de l’entreprise (Directeur financier, Directeur général, Directeur des opérations…). La cybersécurité est désormais considérée par la plupart de ces dirigeants comme indispensable à la survie de l’entreprise en milieu hostile. Recherche et développement comme propriétés intellectuelles sont autant de trésors à protéger.Cette « maturité de la gouvernance » est également liée à l’évolution réglementaire en Europe comme en France. Une règlementation qui se structure autour de l’Enisa au niveau européen, et autour de l’Anssi en France, et à laquelle doivent se conformer tant les entreprises que les collectivités et l’administration.
Intelligence économique et Chantage
Les groupes d’attaquants sont de plus en plus organisés et les cyberattaques peuvent être perpétrées pour différentes raisons, par de multiples acteurs. Criminels motivés par l’appât du gain, espions motivés par la captation d’information, voire parfois gouvernements motivés eux aussi par le renseignement, ou la déstabilisation, toutes les cyberattaques perpétrées contre des entreprises peuvent quoi qu’il en soit avoir des conséquences désastreuses.Le niveau de cyber-protection influe donc directement sur l’impact potentiel d’une cyber-attaque, et à terme sur la survie économique de la victime. Et les techniques déployées deviennent de plus en plus sophistiquées et méthodiques.
A titre d’exemple, un ransomware qui chiffre entièrement un SI contre rançon aura eu le temps auparavant de pénétrer dans le système, identifier les cibles potentiellement intéressantes, comprendre le fonctionnement du SI, récupérer et exfiltrer les données avant de procéder au blocage/chantage. Un chantage qui peut également menacer de rendre publique des emails et documents pouvant porter atteinte à la réputation de l’entreprise.
Partenaires et maillon faible
Actuellement, la majorité des grands groupes sont en mesure d’anticiper et de réagir à la menace grâce à des stratégies qui permettent de mettre en place une organisation et de sensibiliser le personnel. Un budget est dédié à la cybersécurité et il sert non seulement à acquérir le matériel de détection et protection nécessaire mais également à recruter et former les collaborateurs. En ce qui concerne les PME ce n’est malheureusement pas toujours la même situation. Ces structures sont pourtant étroitement liées aux grandes entreprises, car assurant un rôle de sous-traitant, voire sous-traitant de sous-traitant. Un lien suffisamment étroit pour nécessiter des liens entre Systèmes d’Information indispensables aux échanges de données. C’est là un moyen idéal pour un cyberattaquant d’en connaître un peu plus sur un grand groupe ciblé et très bien protégé, en exploitant les faiblesses des PME partenaires.La chaîne de compromission comprend également les collaborateurs internes à la grande entreprise. Un employé mal sensibilisé par exemple, qui ouvrira la voie à des vecteurs d’attaque plus traditionnels : clé USB, pièce jointes de courriel etc.
Raison pour laquelle la formation et l’éducation demeurent des points fondamentaux, à mettre en œuvre et à assurer en permanence dès lors qu’une personne peut accéder au réseau informatique ou à un poste partagé. C’est un travail de longue haleine qui devrait être assujetti à une politique de formation instaurée au niveau global de l’entreprise.
IoT, surveillance rapprochée
Avec l’Industrie 4.0, l’IoT s’ajoute au chapitre des menaces. Paradoxalement, il est plus difficile de protéger un capteur qu’un ordinateur et ainsi s’exposer au risque d’une attaque en rebond exploitant une vulnérabilité IoT, laquelle servirait ensuite à compromettre le SI qui collecte la donnée issue de ces IoT, et par conséquent d’autres pans du système d’information. Même en cas de cloisonnement, l’invalidation des données d’un capteur de température, par exemple, peut compromettre une chaine de production ou la sécurité d’un bâtiment. On imagine également les conséquences de l’attaque IoT d’une chaîne de traitement d’eau potable. En 2022, ont été déclarés en moyenne par les entreprises deux incidents en relation avec des capteurs IoT, des services Cloud IoT ou des réseaux IoT. Est-ce que le « Cybersecurity by design » à terme, pourrait constituer une amorce de solution ?Fuite de données interne en hausse
Les fuites de données sont tout autant provoquées par des cyberattaques (estiment 23% des personnes interrogées dans le dernier rapport IT Security Economics de Kaspersky) qu’imputées à des employés (pour 22%). Le télétravail, l’usage généralisé d’ordinateurs portables, de tablettes, de liaisons VPN sont essentiellement à l’origine de ces fuites internes. En 2022, 55% des entreprises interrogées ont déclaré avoir dû faire face à des violations de la politique de sécurité provoquées par des collaborateurs. 55% des répondants affirment que les problèmes de protection des données sont, à leurs yeux, les plus difficiles à résoudre. De ce fait, la politique de transparence (information sur les principes de traitement des données, publication de rapport, tests et audits indépendants e conformité aux normes industrielles de sécurité de l’information entre autres) devient incontournable pour tous : 91% des entreprises tiennent compte de la présence de cette politique de transparence chez un partenaire potentiel avant d’envisager de travailler avec alors qu’elles sont 80% à en avoir mise en œuvre une au sein de leur propre entreprise.Formation : de l’IT à la cybersécurité
Le personnel IT est dans l’ensemble peu préparé à réagir à un incident de cybersécurité. Il faut lui donner la capacité à mieux appréhender ce type de problème en le faisant monter en compétence sur le sujet : qu’est-ce qui se passe pendant une cyberattaque ? Comment réagir dans les premiers instants, avoir les bons réflexes ? Etc.D’une manière générale, même si les efforts sur ces dernières années pour développer les compétences en cybersécurité sont encourageants, il manque plusieurs milliers de professionnels de la cybersécurité rien qu’en France. Si le nombre de formations, diplômes est en hausse, il faut maintenant encourager les jeunes à s’engager dans ce secteur, motiver les femmes qui ne sont que 11% dans le domaine en 2022 (chiffre Anssi). Au-delà de la formation initiale, l’un des points d’amélioration pourrait également être la formation continue, la reconversion. Il existe de nombreux ponts possibles entre des métiers de l’informatique, de management, vers des carrières en cybersécurité. Ici, plusieurs acteurs du marché dont Kaspersky proposent d’ailleurs des formations certifiantes pour les entreprises avec des niveaux de complexité plus ou moins avancés en fonction des besoins.
Budgets prévus à la hausse
Selon l’étude, la sécurisation des processus métier nécessitent une nette augmentation des budgets de sécurité sur les 3 ans à venir. Un accroissement qui n’est cependant estimé qu’à 10 % en France, quelle que soit la taille de l’entreprise. En 2022, en Europe, les budgets cybersécurité étaient de l’ordre de 2 millions de dollars US pour les grandes entreprises versus 150 000 dollars US pour les PME.En dépit du fait que les budgets soient prévus à la hausse au sein des organisations et ce, quelle que soit leur taille, l’inflation en cours et les coûts du Cloud liés aux impacts énergétiques risquent d’amoindrir les efforts prévus. Or l’investissement nécessaire dans des solutions de cybersécurité, dans la mise en œuvre et le maintien en conditions opérationnelles face à l’évolution des menaces comme dans la formation du personnel risquent de pâtir du fait du contexte économique actuel.
Sécurité externalisée en vogue
Les entreprises font de plus en plus appel à des compétences externes. La pénurie des compétences en cybersécurité banalise ce fait. Les 3 principaux incidents de cybersécurité motivant l’appel de compétences externes concernent les environnements virtualisés touchés, les services cloud IoT et l’infrastructure.44 % des organisations ont subi des incidents sur des appareils non informatiques connectés tels les systèmes de contrôle industriel, gestion qu’ils externalisent de plus en plus. Sabotage et espionnage industriel ont également nécessité l’appel d’experts externes pour 59 % des entreprises et 54 % des PME.
Globalement près de la moitié des répondants soit 48%, ont investi dans du personnel additionnel en 2022 pour mieux répondre aux incidents. Alors qu’ils étaient près de la moitié des PME et 46 % des entreprises à créer de nouvelles équipes dédiées à la cybersécurité suite à une attaque. Un taux qui passe à 86% des personnes interrogées qui ont déclaré avoir recruter ou louer les services des professionnels IT pour résoudre les problèmes causés par les incidents.
Par Bertrand TRASTOUR, Directeur Général de Kaspersky France et Afrique du Nord, de l’Ouest et Centrale