Cybercriminalité : il y a encore beaucoup à faire !
Toutes les organisations ont été ou seront victimes d’une cyberattaque. La seule question est quand. La table ronde organisée le 18 juin par le cabinet EY l’a mis en évidence. La seule prise de conscience ne suffit pas !
Vols de données clients, de secrets de fabrication, de savoir-faire… L’actualité abonde de ces faits divers un peu particuliers. Deux exemples retenus parmi tant d’autres par Christian Olivier, associé EY, en introduction de la table ronde organisée le 18 juin sur la thématique «Cyberattaques : comment les combattre ?», l’illustrent. Target, cinquième groupe de distribution mondiale, a été début janvier la victime via un «nouveau logiciel malveillant » d’une intrusion qui a entraîné le piratage des données de 110 millions de clients. Second exemple, plus proche de chez nous et plus récent, la société Domino’s Pizza a fait l’objet à la mi-juin d’un «accès illégitime» qui a permis aux pirates de dérober les données personnelles d’environ 650 000 clients. Et la liste est longue des sociétés victimes de hackings informatiques, Orange, eBay, Visa Mastercard…
Une sécurité fragilisée.
Le cabinet EY a donc mené l’enquête, pour la seizième fois entre juin et juillet 2013, sur ces atteintes à la sécurité des systèmes d’information des entreprises. Que révèle le Global Information Security Survey à partir des données recueillies auprès de 1 909 entreprises de 64 pays et de toutes tailles répondantes ? «L’évolution technologique des systèmes d’information a fragilisé de manière assez forte la sécurité des sociétés, les systèmes sont de plus en plus ouverts, notamment avec l’arrivée du numérique, et cette ouverture est la cause de la création d’un certain nombre de failles de sécurité», a expliqué Pascal Antonini, associé EY, avec des cybermenaces au plus haut et des cyberattaquants de plus en plus nombreux.
Et de faire le constat que «la question n’est pas pour les entreprises de se poser la question si une attaque va arriver, mais quand elle va arriver», en relevant un changement de paradigme : «Auparavant, on devait protéger sa sécurité périmétrique. Aujourd’hui, on doit la faire évoluer eu égard au nombre d’attaques.» Il note que si «les entreprises ont nettement amélioré leur sécurité (…), même celles de taille modeste où des personnes se préoccupent du sujet sans qu’elles y soient à temps plein », s’agissant des sujets de sécurité, «il faut passer à une vision davantage tournée vers l’innovation plutôt que d’exploiter les dispositifs de sécurité mis en place». Autres enseignements de cette enquête, l’insuffisance des budgets investis dans la sécurité malgré les progrès déjà accomplis eu égard à l’avance prise par les cyberattaquants qui se sont organisés en écosystème permettant, par exemple, la revente d’adresses…
Pas de ralentissement des attaques à attendre.
Les réponses des entreprises aux menaces de cyberattaques ont été classifiées en trois niveaux allant crescendo : celles qui améliorent la compréhension des menaces et renforcent les systèmes existants de sécurité, celles qui déploient les bonnes pratiques et adoptent une démarche proactive de prise en compte des nouvelles menaces, et enfin celles qui innovent et conçoivent des solutions adaptées aux technologies actuelles et futures. «Toutes les organisations peuvent être menacées», a insisté Pascal Antonini en mettant l’accent sur «les environnements plus propices à ces menaces comme les changements d’organisation et de structures, les fusions acquisitions, l’entrée sur de nouveaux marchés qui peuvent désorganiser les pratiques de sécurité». Au final, l’étude conclut sur «des améliorations, mais aussi des lacunes qui existent. Nombre d’entreprises se sont donné un plan stratégique de sécurité, mais ceci n’est pas nécessairement suffisant pour être totalement à l’abri et répondre au contexte d’ouverture accrue des systèmes d’informations (…) Le nombre des cyberattaques ne ralentira pas, les entreprises peuvent se retrouver avec un mauvais niveau de sécurité qui pourra, par exemple, anéantir tous les efforts de développement d’activité. Les dirigeants doivent comprendre que la sécurité n’est pas seulement un coût supplémentaire, mais une opportunité qui permet d’apporter de la valeur ajoutée à l’organisation et à leurs clients».
«Méthodes, outils et compétences».
Réagissant le premier à la présentation de cette étude, Thierry Saudrais, responsable qualité chez OVH, hébergeur Internet, cloud et serveurs dédiés roubaisien de sites web présent dans 7 pays avec 15 datacentres, a évoqué «l’indispensable formalisation de la sécurité» qu’il recommande à ses clients sur la base de la formule maison en matière de sécurité des
systèmes d’information : «des méthodes, des outils et des compétences». Et d’ajouter : «On aura toujours une longueur de retard. En tant qu’hébergeur, nous subissons des attaques au quotidien auxquelles répond la mise en place d’un ensemble de protection… En cas d’intrusion, de vols de bases de données, notre souci de transparence est total et la première que nous recommandons, c’est de changer de mot de passe.»
Intervenir le plus en amont possible.
Pour Matthieu Bonenfant, directeur marketing produits chez Netasq, éditeur de technologies de sécurité principalement en protections périmétriques − racheté par l’entité Cybersécurité d’Airbus Defence & Space comme la société Arkoon avec qui la fusion opérationnelle est déjà acquise en attendant d’autres développements promis pour ce mois de juillet −, «la tendance est à la technologie, même si la protection traditionnelle reste nécessaire pour se protéger des résurgences fréquentes des malwares, logiciels malveillants. La problématique est aujourd’hui de réussir à détecter et à bloquer les menaces le plus vite possible grâce à des technologies qui permettent d’analyser les événements sur le réseau». Parmi ses clients, la Défense, les administrations, la Finance, la Santé, des acteurs qui ont à la fois des enjeux de sécurité et des enjeux de conformité dans des environnements de plus en plus connectés, attaqués non pas en frontal mais par l’écosystème des PME qui gravite autour, nécessitant de travailler à des modèles collaboratifs de sécurité. Si, il y a dix ans, la sécurité était un acte policier avec ses règles, aujourd’hui c’est plus compliqué, “nous sommes obligés d’avoir une sécurité transparente pour les utilisateurs dans un mode moins contraignant, tout en maintenant le même niveau de protection».
Sécuriser est de plus en plus complexe.
PDG de GB & Smith, société innovante lilloise spécialisée dans l’administration et la gestion de la sécurité, Sébastien Goiffon explique qu’il est «de plus en plus complexe de sécuriser les données et l’information» et qu’il travaille à «inventer une nouvelle branche de la sécurité − l’administration intelligente −, interface unique qui permet de gérer la sécurité des logiciels de manière unique et générique». Encore qu’en matière de RH, «les profils ont bien changé depuis dix ans. La sécurité était une problématique opérationnelle très liée à la direction des systèmes d’information. Aujourd’hui, les profils des responsables sécurité sont de plus en plus positionnés comme risk managers ayant la compréhension des risques, des enjeux métiers et des technologies, systèmes d’information et numérique. Ils doivent être à même de répondre à la nécessité de réaliser des analyses de risques».
Intervenant pour expliquer qu’à l’inverse des grandes entreprises, les PME et ETI n’ont pas totalement conscience des risques encourus et ne savent pas comment faire pour ses protéger, Bertrand Peucelle, directeur du courtier en assurances Segia, a fait la comparaison avec l’assurance «responsabilité des mandataires sociaux» pour laquelle il a fallu vingt ans pour arriver à une réelle prise de conscience. «Aujourd’hui, en cybercriminalité, il y a encore beaucoup à faire !» Un avis partagé par les trois intervenants qui ont plaidé pour une sensibilisation accrue des directions générales et des directions financières des PME et des ETI, au-delà des seules directions informatiques.