Il y a urgence à passer de l’ère de la sécurité à celle de la cybersécurité
Par Nicolas J. Lecocq, expert du digital et du secteur IT
L’explosion des technologies numériques change complètement la donne en matière de sécurité informatique dans les entreprises.
Avant, il était possible d’avoir un mode de fonctionnement basé sur la réaction à posteriori : lorsqu’une faille était identifiée, il suffisait de rajouter un complément de sécurité afin de bénéficier d’une protection efficace. C’était un peu, comme si les responsables informatiques se contentaient d’agir comme des détecteurs de mouvements dans une salle.
Aujourd’hui, à l’époque du “tout digital”, il est primordial d’adopter une autre approche ! Parler simplement de sécurité est devenu obsolète, puisque nous sommes déjà entrés dans l’ère de la cybersécurité et de la cyberdéfense.
Mais comment faire accepter les dépenses de cybersécurité aux directeurs financiers, et aux dirigeants qui considèrent la plupart du temps cet investissement injustifié, voire impossible à réaliser ?
Beaucoup de chefs de PME, et même de grandes entreprises, considèrent le monde du digital comme un risque trop coûteux, un univers incompatible avec la sécurité et souvent sans connaître leur ratio risque sur bénéfice.
Nicolas J. Lecocq, Senior IT Executive et spécialiste reconnu dans le domaine des nouvelles technologies et celui du digital, préconise d’adopter une approche “top down”.
L’idée est de phaser sa démarche, de partir de l’existant pour le transformer par étapes, afin de limiter les coûts et de gagner en efficacité.
1) Faire le point de la situation
Il faut avoir une vision claire de la situation de l’entreprise à chaque instant, avant d’envisager d’agir, il est important de se rendre compte que l’on ne peut protéger que ce que l’on connaît. Par exemple, une étude a montré que 68% des employés ont conscience de détenir des données critiques… mais, ils ne savent pas lesquelles, ni comment les protéger.
Il est extrêmement important de faire un inventaire (et le tenir à jour) de l’ensemble, et pas seulement des composants techniques, en incluant notamment les fournisseurs, les contrats/SLA, les utilisateurs, les clients cibles, de même que les librairies source (Open ou non), des codes, des données, des flux, et de l’ensemble des infrastructures (liste non exhaustives).
Au-delà de l’inventaire il est impératif de connaître la criticité de ses assets. Il est évident que l’on ne protège pas les informations de la même manière qu’elles soient « publiques » ou « sensibles/secrètes » de même que le coût de reconstruction, qu’il soit faible ou onéreux.
Finalement, il faut rester au courant de ce qui se passe et des tendances dans le monde de la cybersécurité. En effet, les solutions d’aujourd’hui risque de devenir obsolètes demain.
2) Identifier ses vulnérabilités
Quelles sont les données sensibles à protéger ? Quels sont les éléments susceptibles de fragiliser leur sécurité et leur confidentialité ? Dans la mesure, où chaque entreprise à ses forces et ses faiblesses, il est important de dresser un bilan objectif et exhaustif.
Exemple : une entreprise qui a des difficultés financières et qui risque une OPA hostile est nettement plus exposée qu’une entreprise ayant des bases solides.
3) Déterminer les risques
La question n’est pas de savoir s’il y a des risques, mais, de repérer lesquels. Les failles potentielles sont partout, personne ne peut se considérer à l’abri. Par exemple, en 2015, des chercheurs ont montré avec quelle facilité, il était possible de pirater un réfrigérateur connecté afin d’obtenir tous les comptes Google de la famille ! (Source)
On définit les risques sur une matrice Probabilité sur Sévérité pour avoir une vision claire des risques.
Nicolas J. Lecocq souligne : Toutes les technologies que nous utilisons au quotidien augmentent les surfaces d’attaque. Il faut donc commencer par cerner les risques inhérents à chacun de ces éléments : les comptes étendus, les personnes à forte mobilité, les datacenters « On-premise », le cloud, les appareils connectés (IoT), …, sont tous potentiellement des ouvertures pour des attaques, on parle alors d’augmentation de la surface d’attaque. Plus elle est grande, plus les risques sont grands.
4) Identifier les sources Cyber d’informations
Avoir la connaissance de son environnement, de ses propres vulnérabilités et des risques inhérents est déjà une base solide, surtout si on ne met pas en place des solutions « sur étagère ». Ce type de solution « constructeur » nécessite d’autres sources d’information pour connaître leurs vulnérabilités. On peut facilement se dire que le site de la solution fournit l’information nécessaire et bien pas forcément. Donc, il faut s’abonner à des sources fiables d’information de sécurité telles que OWASP, ANSSI, US-CERT (CISA), …
5) Monitoring, remontée d’alerte et analyse
Quand et à quelle fréquence. On pourrait être fortement surpris du nombre de tentatives d’attaque par seconde. Il est nécessaire de le mettre en valeur. En effet, il est difficile de justifier des contre-mesures si on ne peut mettre en avant les sources et les fréquences des attaques. Il faut garder à l’esprit que dans l’aire de la cybersécurité, cyberdéfense, les hackers ont plus que jamais un temps d’avance notamment avec l’utilisation des nouvelles technologies digitales, tel que le deep learning et l’intelligence artificielle.
Pour illustrer le besoin de monitoring, en 2018 un organisme attaché à l’ONU s’est rendu compte d’un piratage massif qui était latent depuis 2 ans et qui a permis aux hackers d’accéder aux données privées des membres affiliées à cet organisme directement. (Source)
6) Mettre en place des contre-mesures globales
Il est nécessaire d’évaluer la probabilité que le risque puisse survenir et de mettre ensuite en place des correctifs adaptés.
Tout l’enjeu est de ne pas se focaliser uniquement sur le risque technique ou celui lié à la protection des données, comme les responsables IT ont tendance à le faire. La notion de risque doit être appréhendée de façon globale, car les conséquences d’un piratage sont nombreuses. La perte de crédibilité par exemple, aux conséquences très lourdes pour l’entreprise doit aussi être qualifiée, sans compter les amendes importantes que l’entreprise risque en cas de perte de données.
7) Passer à une culture de la cybersécurité dans l’entreprise
Si, les six étapes précédentes suffisent à rassurer les directeurs financiers concernant les dépenses de sécurité, il est capital d’aller beaucoup plus loin en travaillant sur deux axes majeurs : la “security by design” et la “security by awareness”, en d’autres termes mettre en place une culture de protection et de prévention.
La “security by design” consiste à intégrer la sécurité dès la conception d’une solution (un logiciel, une application, un objet connecté, un site web…). Chaque groupe IT et chaque développeur a la responsabilité de protéger les données et la solution.
La “security by avareness” met quant à elle l’accent sur la pédagogie et sur la formation. Chaque acteur de l’entreprise (y compris les stagiaires, les externes, les fournisseurs et même les clients) doit avoir les bons réflexes lorsqu’il est en présence de situations à risque. Il faut sensibiliser à la cybersécurité et aux conséquences potentielles liées à certains comportements car le maillon faible de la protection des données est et restera le facteur humain. Par exemple, il y a deux ans au Royaume-Uni, une grosse attaque de type “ransomware” a paralysé plusieurs hôpitaux tout simplement parce qu’un membre du personnel avait cliqué sur un email frauduleux. (Source)
Nicolas J. Lecocq précise : Quand il y a un état d’esprit dans l’entreprise centré sur la cybersécurité, il est beaucoup plus simple ensuite de définir et d’appliquer les mesures de protection nécessaires, ainsi que de calculer le retour sur investissement.
A propos deNicolas J. Lecocq, expert des nouvelles technologies
Nicolas J. Lecocq est Senior IT Executive avec plus de 30 ans d’expérience dans la création de solutions innovantes (architecture d’entreprises, sécurité, infrastructures, applications, gestion de projets et de programmes, …). Il a collaboré à l’international avec les plus grands groupes (Atos, Accenture, Cognizant Technology, Wipro Technologies, UBS, entreprises du Fortune 500 …) et géré des budgets de plusieurs millions de dollars. Nicolas J. Lecocq dispose notamment de compétences en gestion, en marketing et en comptabilité qui lui permettent d’améliorer l’efficacité des programmes ou projets de 30%, de réduire les risques ainsi que de diminuer l’ensemble des coûts des programmes de transition et de transformation.