TRANSFORMATION & ORGANISATION
Mieux intégrer les enjeux de la cybersécurité
La sécurité informatique est devenue un enjeu stratégique pour toutes les organisations. Il ne s’agit plus aujourd’hui de protéger les systèmes de l’entreprise, mais de garantir la continuité de l’activité face à des attaques de plus en plus sophistiquées.
October 25, 2022
La sécurité informatique est devenue un enjeu stratégique pour toutes les organisations. Il ne s’agit plus aujourd’hui de protéger les systèmes de l’entreprise, mais de garantir la continuité de l’activité face à des attaques de plus en plus sophistiquées, exploitant une grande diversité de points d’entrée. Au point qu’il ne s’agit plus de parler de cybersécurité, mais tout simplement de sécurité.
S’il est bien une activité qui connait une croissance dont rêveraient les plus ambitieux patrons d’industrie, c’est la cybercriminalité. En témoigne l’évolution du nombre d’incidents ouverts auprès du Computer Incident Response Center Luxembourg (CIRCL), une initiative publique dont la mission est de recueillir, examiner, signaler et répondre aux menaces et incidents de sécurité informatique. 180.000 tickets d’incidents ont été ouverts auprès de l’organisation en 2020, contre 100.000 en 2019 et 15.000 en 2018. Les cybercriminels ne connaissent pas la crise, au contraire. Et, surtout, la cybercriminalité représente un coût tout aussi exponentiel pour les entreprises et les institutions. En 2021, il aura dépassé les 5.700 milliards d’euros, selon Alessandro Profumo, patron du géant italien de l’aéronautique et de la défense, Leonardo, lors de l’ouverture à Rome du Cybertech Europe 2022 en mai dernier. Selon lui, un cinquième des attaques menées, dont il constate le haut niveau de sophistication, a visé l’Europe. Si l’on en croit les analystes du groupe d’experts américains Cybersecurity Ventures, le bilan pourrait atteindre 10.000 milliards d’euros d’ici 2025.
Préoccupation majeure
Aussi, l’on ne s’étonne pas de voir la cybersécurité s’élever parmi les préoccupations majeures des dirigeants d’entreprises privées comme des organisations publiques. Car personne n’est à l’abri. L’enjeu, pour chacun, n’est plus savoir s’il est exposé ou non à un risque d’attaque, mais bien de se préparer à cette éventualité plus que probable et de s’assurer d’avoir les capacités d’y répondre. Les cybercriminels, à travers des attaques de plus en plus préparées et sophistiquées, savent frapper là où cela fait mal. En témoigne notamment la multiplication des attaques visant des hôpitaux, entrainant le plus souvent la paralysie totale des établissements de soin. Cela donne lieu à des situations tendues. En septembre, à la suite de l’attaque d’un hôpital au sud de Paris, le GIGN lui-même est entré en négociation avec des attaquants pour réduire la rançon demandée, alors qu’il est recommandé comme principe absolu de ne jamais céder au chantage des cybercriminels.
Se préparer
Comment faire face ? C’est la question que se posent tous les dirigeants d’entreprise, inquiets sans doute aussi de voir les budgets alloués à la cybersécurité exploser, sans avoir toujours la certitude que ces sommes sont bien investies.
On constate, de manière générale, que lorsqu’une attaque survient, c’est la préparation qui fait défaut. Le véritable défi, surtout, est de parvenir à mieux intégrer la sécurité à travers l’ensemble de l’entreprise. Trop longtemps, le business a considéré que cette responsabilité relevait du service informatique, et même d’une partie de celui-ci. Trop souvent, les questions relatives à la sécurité ont été considérées en bout de course, une fois le projet établi, les spécifications définies, les développements réalisés. Bref, trop tard.
Partir des risques
Fort heureusement, on voit désormais les approches évoluer. Bien appréhender la sécurité, selon les experts, implique d’abord de partir des risques que la cybermenace représente pour l’activité, de comprendre les impacts qu’une attaque peut avoir sur l’activité. Cette analyse doit permettre d’imaginer le pire et, dès lors, d’envisager la meilleure manière d’y répondre, en cherchant à préserver l’essentiel et à garantir la pérennité de l’activité. Une approche par les risques, surtout, permet de définir où placer les investissements et à quoi ils contribuent. Pour un dirigeant, il est en effet essentiel de pouvoir justifier de telles dépenses.
Mieux intégrer la sécurité implique de comprendre l’activité mais aussi ses interdépendances. Car si l’entreprise dispose d’une certaine maîtrise sur son propre environnement informatique, elle dépend souvent aussi de fournisseurs ou de solutions extérieurs, qui sont aussi des vecteurs d’attaques. C’est donc toute la chaîne de valeur et ses nombreuses interdépendances qu’il faut considérer, en veillant notamment à limiter les accès.
Détecter et répondre
Considérant un large périmètre, l’enjeu est aussi, au-delà de la protection de ses données et applications, d’améliorer sa capacité à détecter toute anomalie ou intrusion et d’y répondre efficacement. Des outils, comme un Security Operations Center (SOC), soutenu par une solution Endpoint Detection & Response (EDR), contribuent à renforcer la capacité de détection et à y répondre, avec un niveau d’automatisation grandissant. D’autre part, il est essentiel de documenter les procédures à activer en cas d’incident, de les revoir régulièrement et de s’assurer, à travers des exercices, qu’elles sont maîtrisées. Dans une situation problématique, cela fait toute la différence.
La protection, enfin, implique une sensibilisation permanente. L’erreur étant humaine, chacun au sein d’une organisation doit être considéré comme étant le maillon faible d’une chaîne de sécurité. Toutefois, c’est en étant conscient de ses faiblesses que l’on peut y remédier.