DIGITAL SOLUTIONS

Incidents informatiques : mêmes causes, mêmes conséquences

Pourquoi les entreprises n’apprennent pas des erreurs passées dans ce domaine ? Ou devrait-on dire : pourquoi le Top management des entreprises n’est-il pas plus concerné ?

July 20, 2016

chahmPourquoi les entreprises n’apprennent pas des erreurs passées dans ce domaine ? Ou devrait-on dire : pourquoi le Top management des entreprises n’est-il pas plus concerné ?

Un jour comme un autre au sein de la Cellule de Sécurité et de traitement d’incidents d’Excellium – nos pompiers de l’informatique. Appel d’un client qui constate l’impossibilité d’accéder à ses fichiers depuis quelques minutes. Première analyse, les fichiers sont encryptés sur un de ses sites…

« Il serait incompréhensible qu’une compagnie aérienne ne mette pas en œuvre toutes
les recommandations pour assurer la sécurité de tous. Face à la menace cybercriminelle, comment expliquer que d’autres business n’adoptent pas la même attitude ? »

Situation d’Urgence Absolue : on stoppe les serveurs du côté de l’organisation et on appelle des spécialistes de l’investigation informatique. Le client souhaite mettre en œuvre toute la batterie des possibilités (avion pour aller sur site, envoie d’une « Swat Team », …).

Cette situation est un contraste intéressant lorsque l’on sait que ce même client, quelques semaines plus tôt nous demandait sur requête de sa direction, des remises pour valider une prestation de sécurité des plus ordinaires.

Premier enseignement : les entreprises n’investissent pas en prévention, mais dans l’urgence. Réflexe naturel dirait-on ? Certainement, mais plutôt déplacé pour une entreprise responsable. Mais définitivement un comportement courant.

On peut comprendre un certain besoin d’urgence car les fichiers sont importants, mais une telle disparité comportementale est intéressante à analyser : les Ransomware sévissant au niveau mondial depuis quelques mois, en tant que professionnels, n’est-on pas censé se poser des questions face à un risque d’une telle ampleur ?

Face à ce constat, quelles réflexions adopter ? Comment aurait-on pu éviter cela ? Cela aurait-il coûté plus cher ?

C’est le dilemme primaire de la sécurité informatique : dépense nécessaire pour les organisations mais perçue comme une fonction de support, donc à limiter au minimum. Pour les professionnels du domaine, cela n’est pas une nouveauté : au travers de nos prestations on constate qu’il s’agit du quotidien pour beaucoup d’entre eux.

Comment donc faire prendre conscience au Management que ces risques ne peuvent plus être traités de la sorte, car la menace cybersécurité ou l’incident malveillant informatique auront certainement lieu.

Un parallèle avec un domaine qui nous parle, car faisant partie de notre quotidien, s’impose : l’aviation. Dans ce secteur, il est normal qu’après chaque accident aérien, une analyse des causes soit réalisée, des enseignements soient pris en compte pour éviter que cela ne se reproduise.

Pourtant le transport aérien est selon les professionnels le moyen de transport le plus sûr. Relation de cause à effet me diriez vous ?

Finalement, il nous paraîtrait incompréhensible que les constructeurs, les compagnies, les employeurs n’adoptent pas toutes les recommandations possibles afin de rendre ce moyen de transport encore plus sûr.

Alors comment cela est-il rendu possible ?

« On sait aujourd’hui que l’intrusion informatique aura fatalement lieu. Ce n’est qu’une question de temps.»

Tout d’abord la construction d’avions respecte scrupuleusement standards et normes, les aéroports implémentent des mesures de contrôle pour les passagers, les avions disposent de boîtes noires pour enregistrer ce qui se passe, des contrôleurs aériens assurent la circulation, et les investigateurs en cas d’accident imposent des corrections ou de nouvelles mesures en cas d’incidents.

Comme analogie avec nos métiers de la sécurité informatique, on dispose de frameworks et de référentiels de bonnes pratiques, de composants de sécurité pour assurer le transfert des données, de solutions pour enregistrer les activités (incidents et évènements), de spécialistes qui font des analyses sur les incidents qui arrivent. Mais aucun enseignement n’est tiré !

Ne devrait-on pas être capable d’adopter la même approche ? Nous savons faire mais le problème semble être d’une autre nature. On sait aujourd’hui que l’intrusion informatique aura fatalement lieu, ce n’est qu’une question de temps. Ce jour-là comment réagira mon organisation ?

Cela passe par :

  • de l’éducation et pas seulement de la sensibilisation,
  • de la connaissance des phénomènes auxquels on est exposé (et donc du partage d’information),
  • d’une analyse régulière de ma situation.
  • de la prise de température préventive de mes systèmes (une surveillance continue). • d’être prêt à la réaction !
  • et enfin d’apprendre de nos incidents (amélioration continue).

La technologie ne suffira pas à nous sauver. Car malgré l’apparition d’offres marketées « nouvelle génération », la menace reste agile, réactive et fort ingénieuse. Pour les entreprises, des compétences et des moyens sont toujours nécessaires et seront encore primordiales pour une réponse à la hauteur de la menace.

Sans ce changement de paradigme, il faut arrêter de s’imaginer que les mêmes causes auront les mêmes conséquences.

Il est nécessaire d’avoir une plus grande considération par le Top management de la problématique sécurité, faute d’être considérée comme de la négligence, avec toutes les conséquences que cela entraîne.

Watch video

In the same category