Quel système de sécurité pour des entreprises cyber résilientes ?
87%
 
des membres de comités exécutifs et des C-Suites ont des doutes sur le niveau de protection du dispositif de cybersécurité de leur organisation.
57%
 
des intervenants ont récemment connu un incident important de cybersécurité.
53%
 
des budgets cybersécurité ont augmenté dans les 12 derniers mois. 
Source :  19e édition de l'étude EY sur la sécurité de l'information (2016).
3
87
81

Face à des cyber menaces de plus en plus sophistiquées et parfois furtives, les entreprises sont encore bien vulnérables. En cas d'attaque, peu d'entre elles s'estiment capables de maintenir l'intégrité de leur système. Pour assurer cette résilience, elles devront inscrire la cybersécurité dans leur stratégie, établir des plans de défense et, surtout, sensibiliser chacun aux dangers encourus.

Plus personne ne peut ignorer les risques et les conséquences d'attaques fomentées par des cybercriminels toujours plus agiles et inventifs. Pour devenir « cyber résilientes », c'est-à-dire avoir la capacité de maintenir l'intégrité de leurs systèmes face à des menaces cyber sur leur infrastructure IT et leurs applications, les organisations doivent mettre en place de véritables plans de défense. Il s'agit tout à la fois de prévenir, détecter, endiguer, et de se remettre des attaques.

Chaque jour, plusieurs milliers de cyber attaques sont repoussées. En 2016, 46 % des entreprises ont vu le nombre de leurs attaques augmenter, indique le baromètre de la cybersécurité des entreprises du Club des experts de la sécurité de l'information et du numérique (Cesin). En forte progression, les attaques avec demandes de rançon (ou ransomware) ont touché 80 % des entreprises interrogées, 40 % ont subi des attaques par déni de service (DDoS) et 36 % des attaques virales générales. Les attaques ciblées et le vol de données personnelles sont en revanche en baisse, même si les actions subies par les gros acteurs du web ont beaucoup contribué à leur médiatisation.

La hausse des budgets consacrés à la protection des systèmes illustre la prise de conscience des enjeux, mais il reste encore beaucoup à faire. La cybersécurité ne relève pas seulement de la technique ! Du conseil d'administration aux salariés, en passant par les utilisateurs d'un bien ou d'un service, chacun doit être conscient des risques et de sa responsabilité dans la chaîne de vigilance. 


La cybersécurité est l'affaire de tous

La digitalisation à marche forcée des entreprises engendre de nouvelles vulnérabilités. Les déploiements sur le cloud ou à travers des applications sont autant de fenêtres sur l'extérieur et de voies d'accès pour les attaquants. Depuis qu'Internet rythme nos vies de citoyen, de consommateur, d'utilisateur de service, chacun est devenu la proie des hackers. Pour les années à venir, le grand public craint de voir les voitures autonomes piratées dans le but de provoquer des accidents...

Anticiper les menaces implique d'avoir une vision globale et partagée à tous les niveaux de l'entreprise, et en prenant en compte l'ensemble de l'écosystème, notamment via la mise en place de stratégies de veille ou opérationnelle au travers de Security Operation Centers (SOC). Il est aussi essentiel de sensibiliser chacun aux dangers encourus. Les salariés doivent être incités à faire preuve de prudence. Les usagers doivent prendre conscience des risques liés à leurs objets connectés. 73 % des organisations se disent préoccupées par la faible connaissance qu'ont les usagers de leurs failles de sécurité potentielles et du risque de certains de leurs comportements.

« La prise de conscience des dangers de la cybercriminalité est perfectible mais elle fait son chemin. Les gens sont sensibilisés dans leur univers professionnel car ils en subissent parfois les effets dans leur vie privée. Dans l'univers de l'entreprise, beaucoup de managers et de dirigeants n'ont pas encore pris la mesure des enjeux. Il y a deux sortes de patrons : ceux qui ont été confrontés un jour à un problème de cybersécurité et les autres  », constate Alain Bouillé, président du Cesin. 
 
 



« L'hygiène informatique est très contraignante, mais tout le monde s'y plie car il en va de la survie de l'entreprise »
Yves Bigot - président de TV5MONDE

Yves Bigot, président de TV5MONDE, fait partie de la première catégorie depuis le 8 avril 2015. Alors que son groupe lançait une nouvelle chaîne thématique, il a été victime d'une attaque qui a entraîné l'arrêt de la diffusion des douze signaux à l'international et la publication de messages de soutien à l'État islamique sur ses réseaux sociaux. Depuis l'attaque, les règles de sécurité ont été renforcées, notamment dans l'usage des outils numériques : « Les monteurs et journalistes sont soumis à des procédures sécurisées. Les employés ont été sensibilisés sur l'usage des clés USB, de Skype, aux bonnes pratiques en matière de mot de passe ou pour recharger un ordinateur portable. Les équipements mobiles doivent passer par un sas de décontamination après un séjour à l'étranger... L'hygiène informatique est devenue très contraignante, mais tout le monde s'y plie car il en va de la survie de l'entreprise », explique Yves Bigot.

Inscrire la cybersécurité dans la stratégie de l'entreprise

Toutes les menaces ne pouvant être anticipées, les organisations ont investi dans le renforcement de leurs dispositifs de prévention et de protection et dans la détection des comportements à risque. « Il faut surtout s'interroger pour savoir si les budgets sont dépensés dans des outils qui correspondent aux besoins et aux enjeux, si ce dont on est déjà équipé sert encore à quelque chose... Puisque les malwares continuent de rentrer dans les entreprises, c'est bien qu'une partie des outils est inefficace ou défaillante », constate Alain Bouillé. L'évolution du marché n'incite pas toujours à y voir clair... « Les fabricants historiques ont un vrai challenge en matière de R&D. Beaucoup d'entre eux ont fabriqué les outils qu'ils avaient envie de vendre plus que les outils dont les entreprises avaient réellement besoin. Le marché est en train de bouger sous l'impulsion de PME innovantes et de start-up qui sont beaucoup plus orientées sur les besoins clients », ajoute-t-il.
 
Malgré les progrès, beaucoup d'entreprises n'ont pas encore fait entrer la cybersécurité dans leur stratégie. Peu de responsables de la sécurité sont encore présents dans les organes de direction et les Comex. C'est le cas de Thierry de Camaret, qui occupe la fonction plus large de directeur de l'ingénierie et des systèmes d'information d'APRR. « Plus les personnes en charge de la sécurité ont une place importante dans la hiérarchie de l'entreprise, plus elles peuvent avoir une capacité d'influence et de décision auprès des instances nécessaires. Mais cela ne passe pas forcément par une présence au Comex. Chez APRR, la stratégie autour des projets de systèmes d'information est abordée au Comex ou au comité de direction. C'est l'occasion de mettre en avant le responsable de la sécurité des systèmes d'information (RSSI) qui intervient sur le sujet  », souligne-t-il. 
 
La phase de réaction est une autre priorité majeure car les équipes doivent se montrer de plus en plus agiles dans leur manière de répondre et de résister aux attaques. Chez TV5MONDE, cet élément a été essentiel. « La présence des personnels techniques le soir de l'attaque et leur compréhension de ce qui était en train de se dérouler a permis de déconnecter l'appareil du réseau où se trouvait le malware. S'ils n'avaient pas réagi de la sorte, tout le système de diffusion de l'entreprise aurait été détruit. Nous ne nous en serions jamais remis car nous n'aurions pas pu trouver les 50 millions d'euros nécessaires pour remonter l'intégralité du système », explique Yves Bigot.

Les plans de défense doivent impliquer les directions fonctionnelles et métiers amenées à entrer dans un processus de gestion de crise. Pour tester leur résistance, certains groupes mettent en place des pratiques d'auto-hameçonnage, déploient leurs propres tests d'intrusion... On voit aussi se développer des procédures d'audit de code pour voir si les programmeurs n'ont pas introduit trop de fragilité par méconnaissance des questions de sécurité. Ou encore des démarches qui fonctionnent sur un système de récompense pour des hackers honnêtes qui recherchent les vulnérabilités du système. Les entreprises et organisations qui entrent dans ce type de démarches peuvent ainsi tirer les conséquences des comportements réels et entrer dans des processus d'amélioration de leur cyber résilience. 
 
 



« Les risques liés à une défaillance seraient tellement importants que nous nous mettons dans une stratégie proactive, en faisant comme si nous étions réellement attaqués »
Thierry de Camaret - directeur de l'ingénierie et des systèmes d'information d'APRR

Les groupes qui dépendent presque uniquement de recettes numériques sont particulièrement attentifs à la résilience de leur système d'information. « Pour les autoroutes, la vigilance sur la sécurité concerne prioritairement l'utilisation des cartes bancaires au péage. Aujourd'hui, 90 % de nos recettes de péage sont des à-valoir sur des échanges de données avec des organismes financiers. Les risques liés à une défaillance seraient tellement importants que nous nous mettons dans une stratégie proactive, en faisant comme si nous étions réellement attaqués. La résistance aux risques doit être testée régulièrement, au moins tous les ans. Notre schéma directeur sécurité définit à horizon de 3 à 5 ans les conditions de maîtrise de nos systèmes critiques. Selon l'évolution des menaces, nous lançons des études plus approfondies », précise Thierry de Camaret.

Comment conserver un temps d'avance sur les attaquants ?

La nature des attaques et des modes opératoires ne cesse d'évoluer et de s'internationaliser, comme l'ont montré différentes attaques de systèmes industriels ou les attaques qui ont ponctué les élections américaines. En France, la sécurisation des résultats de la présidentielle face aux cybermenaces a été considérée comme une « priorité nationale » afin d'assurer la sincérité du scrutin et d'éviter les risques réputationnels. Les lignes de défense doivent s'adapter en permanence à l'imagination des hackers : « La seule logique consiste à faire perdre patience aux attaquants, leur donner le sentiment qu'il sera trop compliqué d'essayer d'entrer dans le système  », estime Yves Bigot.

La cybersécurité du futur sera plus agile dans ses réactions, par exemple pour suspendre un système dès qu'une menace est repérée, afin d'éviter qu'elle ne se propage. Ces nouvelles approches passeront aussi par des méthodes de « résilience douce ». Dès qu'un système aura détecté une menace, des mécanismes se mettront en place pour absorber l'attaque, en réduire la vélocité et l'impact. Ils pourront tolérer une défaillance partielle du système pour limiter les dommages causés à l'ensemble.
 
 



« Aujourd'hui, il est compliqué de proposer un nouveau produit numérique sans avoir le blanc-seing de ces nouveaux RSSI digitaux »
Alain Bouillé - président du Cesin

 
Dans cet écosystème, les responsables de la sécurité des systèmes d'information (RSSI) ont un rôle déterminant et en pleine évolution, comme le souligne Alain Bouillé : « Ils sont sur-sollicités en raison du développement du digital, et confrontés à des sujets qu'ils n'avaient jamais eu à traiter comme le Big Data, la Blockchain, ou encore l'intelligence artificielle... Ils se sentent parfois un peu démunis, mais il est significatif qu'on les consulte, notamment sur les questions de Security by design. Aujourd'hui, il est compliqué de proposer un nouveau produit "numérique" sans avoir le blanc-seing de ces nouveaux RSSI "digitaux". Ils devront cependant inventer des nouveaux modèles qui permettront de vivre avec des objets connectés qui ne seront pas sécurisables  ».
Protection
Protection
40 % des entreprises jugent les solutions techniques insuffisamment adaptées aux types et à la fréquence actuelle des attaques.
40 % des entreprises jugent les solutions techniques insuffisamment adaptées aux types et à la fréquence actuelle des attaques.
Gestion du risque
Gestion du risque
Un quart des entreprises ont souscrit une cyber-assurance et 17 % envisagent de la faire d'ici un an.
Un quart des entreprises ont souscrit une cyber-assurance et 17 % envisagent de la faire d'ici un an.
Sensibilisation
Sensibilisation
57 % des entreprises ont mis en place des procédures de vérification du respect des recommandations et 58 % des RSSI attestent du bon respect des procédures
57 % des entreprises ont mis en place des procédures de vérification du respect des recommandations et 58 % des RSSI attestent du bon respect des procédures

Source diaporama : baromètre de la cybersécurité des entreprises, sondage OpinionWay pour le Cesin, janvier 2017

Quelles méthodes pour mieux détecter les attaques ?

 
Pierre-Alexis Saint-Michel
Directeur associé EY
Aujourd'hui, les attaques sont plus sophistiquées que par le passé mais les techniques utilisées pour mener certaines d'entre elles sont paradoxalement plus simples. Les détecter, c'est d'abord mieux identifier les risques. Les organisations doivent identifier leurs risques majeurs car elles n'ont souvent ni le budget, ni la gouvernance pour sécuriser correctement l'intégralité de leur système. Il est important de faire converger ce que l'entreprise pense devoir protéger, ce qu'elle protège dans les faits, et ce qui intéresse réellement les attaquants. Ces sujets doivent être abordés au niveau du COMEX, appuyés par les conclusions d'audits réguliers. La détection passe également par une bonne architecture. Dans les systèmes de défense en profondeur où différentes couches de sécurité se succèdent, chacune contribue à la défense de l'ensemble de manière indépendante. L'attaquant est ainsi affaibli ou ralenti, permettant à la défense de mieux s'organiser. Quant aux signatures techniques qui caractérisent une attaque, celles-ci sont extrêmement nombreuses, et en constante augmentation. Là encore, la connaissance des risques auxquels l'entreprise est exposée permet d'extraire les quelques milliers de signatures qui sont réellement pertinents par rapport à son activité, à ses équipements, à ses compétiteurs ou encore à ses axes de développement (rachat d'une société dans un pays exposé par exemple). Des services comme les centres opérationnels de la sécurité (SOC) prennent alors tout leur sens et peuvent apporter un réel gain en efficacité et en rapidité. N'oublions pas, enfin, qu'une réponse à incidents efficace doit succéder à la détection, qu'elle relève de la simple levée de doute ou de la gestion d'une crise majeure. C'est à ce prix que la durée moyenne de détection d'un incident de sécurité, qui dépasse encore souvent un an, pourra être drastiquement réduite, limitant d'autant des impacts qui conduisent certaines sociétés à l'arrêt pur et simple de leur activité.

Comment développer la culture de la cybersécurité dans l'entreprise ?

 
Laurent Peliks
Directeur associé EY
Développer la culture de la cybersécurité en entreprise est un travail de chaque jour, qui doit être appuyé par la direction et maintenu dans le temps à travers des formations. Le maillon faible se situe souvent au niveau des collaborateurs qui utilisent le système informatique. Ils ne doivent pas seulement être informés des risques, mais surtout être accompagnés dans leur changement d'attitude. Plusieurs méthodes peuvent être mises en œuvre : des formations spécifiques délivrées à l'arrivé de nouveaux collaborateurs dans l'entreprise, des sessions de formation ou des conférences de sensibilisation, des « serious games » sur différents thèmes, des focus spécifiques ou des formations diplômantes proposées aux directeurs de la sécurité informatique (DSI)... Ces interventions peuvent être assurées par des experts externes, venant par exemple de l'Agence nationale de la sécurité des systèmes d'information (Anssi), ou par des professionnels de la sécurité. Les incidents sont l'occasion d'une prise de conscience collective qui permet de déclencher d'autres actions : communiquer sur les risques ou sur les chantiers mis en œuvre auprès des responsables métier, montrer jusqu'où l'entreprise est capable de se protéger dans une logique de benchmark. Vulgariser le langage dans une approche de risque avéré permet d'aller vers quelque chose de plus concret. Il peut par exemple être intéressant de communiquer sur le pourcentage de gens qui ont ouvert les mails lors d'une campagne d'hameçonnage. La sécurité en entreprise passe par l'installation de mots de passe robustes, la sécurisation des contacts et informations sensibles sur les ordinateurs portables et des téléphones mobiles, mais aussi par la sécurisation des relations avec les prestataires.  

Quelles nouvelles réglementations pour mieux protéger ?

 
Pascal Antonini
Associé EY
Plusieurs textes ont été adoptés ces dernières années pour assurer une meilleure protection face aux cyberattaques. La loi de programmation militaire (LPM) 2014-2019 cible douze secteurs considérés comme essentiels pour le fonctionnement du pays. La liste des Opérateurs d'importance vitale (OIV) concernés est tenue secrète, mais on retrouve des acteurs de la protection civile et militaire de l'Etat, les activités de recherche, la finance, certaines industries, ainsi que les infrastructures de transport, la distribution d'énergie et d'eau, l'acheminement de nourriture... Toutes les entreprises et organisations concernées doivent mettre en place des systèmes de sécurité qui répondent à des normes renforcées. Dès 2013, la France avait donc pris les devants sur la directive européenne Network and Information Security (NIS), adoptée le 6 juillet 2016. Sa transposition en droit français, avant mai 2018, sera probablement l'occasion de refondre la loi de programmation militaire. En 2010, l'Etat avait également mis en place le Référentiel général de sécurité (RGS) afin de renforcer la sécurité dans l'administration et d'améliorer la confiance des citoyens dans les formalités qu'ils réalisent par voie électronique avec les administrations centrales, les collectivités territoriales, ou pour obtenir différents certificats. Concernant les données personnelles, le Parlement européen a adopté en avril 2016 un règlement européen qui vise à harmoniser différentes lois et entrera en vigueur en mai 2018.
Certains volets existaient déjà dans la loi informatique et liberté, mais le texte introduit de nouvelles dispositions de protection, notamment à travers un volet cybersécurité ou encore la sécurité des échanges interentreprises de l'Union européenne. Il s'agit de créer une bulle de confiance et une responsabilisation des acteurs, qui devront tenir un registre qui sera à disposition des régulateurs. 
{POPUP_CONTENT}