Depuis plusieurs années, les attaques sur les systèmes d’information se multiplient. La menace n’est donc pas nouvelle, mais elle a muté pour se professionnaliser. Les actes désorganisés ont cédé la place à des attaques sophistiquées, composites, très ciblées. Le cybercrime est devenu une industrie, avec un véritable business model et “des offres” comme le ransomware as a service.
Conscientes qu’elles seront tôt ou tard la cible d’attaques pouvant paralyser leurs activités, les entreprises intègrent la cybersécurité dans leurs plans stratégiques. Leur premier réflexe est de se doter de capacités de réaction. Pour cela, elles s’appuient sur des structures spécialisées dans le traitement à chaud des incidents. Cela permet de parer au plus pressé. Mais au vu de la menace, c’est insuffisant.
Trop souvent encore les entreprises ont du mal à prendre conscience de la nécessité d’anticiper davantage, de se préparer dans la durée. C’est le cas notamment des PME et des ETI qui ne disposent pas des moyens des grands groupes.
Quelle que soit la taille de l'organisation, la cybersécurité doit en effet être prise en compte au quotidien, dans tous les processus de l’entreprise et par l’ensemble des collaborateurs. Cela passe par le développement d’un plan d’action visant à instaurer une culture de la cybersécurité et de l’anticipation à tous les niveaux.
Trois facteurs sont essentiels pour le réussir :
- disposer de ressources expertes, et dans l’idéal, recruter un RSSI (Responsable de la sécurité des systèmes d'information). Si cela s’avère impossible, pour des questions de moyens ou de pénurie de compétences, l’ANSSI (Agence nationale de la sécurité des systèmes d'information) propose une liste d’acteurs de confiance pour accompagner les entreprises ;
- établir un cyberdiagnostic : éprouver la cybersécurité de l’entreprise pour disposer d’un état des lieux de départ. Cela mettra en évidence la surface d'exposition, les portes mal verrouillées, les failles, ce qui doit être protégé en priorité. Le cyber diagnostic jettera ainsi les bases des premières règles à inscrire dans les gênes de l’entreprise et de son personnel : contrôles d’accès, chiffrement, protections…
- provisionner un budget pour le déploiement du plan. Tout ne pourra pas être fait en même temps, le plan sera mis en œuvre pas-à-pas selon les priorités. Pour être réaliste, il est nécessaire d’identifier clairement un budget cybersécurité dans la roadmap de l’IT. A titre indicatif, il n’est pas anormal que ce budget représente en 2021 un coût de l’ordre de 10 à 15% du budget IT pour une entreprise.
Pour ancrer durablement la cybersécurité dans les murs de l'entreprise, le plan d’action s’appuie sur des dispositifs spécifiques et sur l’adaptation des comportements de tout un chacun. Il porte ainsi sur trois composantes :
- l’humain : le plan d’action définit les expertises que l’entreprise doit posséder, en interne ou via des prestataires pour se prémunir. Cela couvre des compétences de surveillance du risque et des capacités de réaction, mais aussi d’exploitation et de gestion informatique au quotidien (architecture des infrastructures et du réseau, exploitation, messagerie, gestion et sécurisation des accès…)
Ce volet humain comprend aussi la sensibilisation des collaborateurs aux enjeux de l'usage des systèmes d’information, des outils mobiles, du cloud… Des formations et des exercices de sécurité doivent notamment être organisés, à l’instar de ce que pratiquent les industriels sur des installations à risque. - l’organisation : le plan d’action décrit les organisations à déployer ou à créer, notamment l’importance de disposer d’une structure de réponse à incident de type Security Operation Center (SOC). Celui-ci peut-être interne ou contractualisé avec des experts externes engagés sur leur disponibilité. Dans tous les cas, le SOC doit être actif et en capacité de réagir 24h/24.
Il est par ailleurs primordial d’intégrer le traitement des cyberattaques dans les plans de continuité et de reprise d'activité (PCA/PRA). La cybersécurité doit rejoindre la liste des événements indésirables que l'entreprise se prépare à surmonter avec un fonctionnement en mode dégradé, des plans de retour à la normale et des exercices de crise réguliers. - la technique : selon les priorités et le niveau d’exposition, le plan d’action définit les technologies retenues pour faire face à la menace, ainsi que les architectures et les processus associés. ll précise comment cloisonner le SI pour réduire les risques et isoler les systèmes les plus critiques. Il établit, entre autres, les règles de contrôle des accès (zero trust), les stratégies de sauvegardes et de restauration assorties de tests réguliers (pour éviter la contamination des backups par les ransomwares)…
Le plan listera aussi les outils de détection et de réponse dont votre SOC doit être équipé pour fonctionner efficacement (outils EDR reconnus : Tetris, Harfanglab, Gatewatcher,)
Aussi conséquent que puisse paraître un tel plan, il est à mettre en perspective avec les dégâts causés par les cyberattaques quand les entreprises ne sont pas préparées. L’idée phare est d’intégrer cette préparation à la vie courante des organisations. Plutôt qu’être vue comme une contrainte, la cybersécurité se coule dans le quotidien. Elle devient un moyen de bien soigner dans un hôpital, d’assurer des services performants aux citoyens dans une collectivité, de produire des biens ou des services avec efficacité dans une entreprise… Changer ainsi de paradigme devient le meilleur moyen de se protéger.
Par Yves Le Thiec, Spécialiste en Cybersécurité et consultant Sécurité chez Maltem