Rechercher

TECHNOLOGIE | Cybermenaces : Comment rester serein ?

sécurité
Computer hacker or Cyber attack concept background @GettyImages

La cybercriminalité ne diminue pas. Alors, comment rester serein et éviter le burn-out chez les responsables de la sécurité ? En mettant en place une gouvernance visant à bien distribuer les rôles : sensibilisation, formation, prévention, remédiation et continuité d’activité. Puis en identifiant les données à protéger en priorité, et en préparant des scénarios de redémarrage du système d’information.

 

Selon le club d’experts en cybersécurité CESIN, 74 % des entreprises déclarent que le phishing (hameçonnage) est le « vecteur d’entrée principal » des cyberattaques. La deuxième menace (pour 45 % des réponses) est l’exploitation des vulnérabilités ou failles logicielles.

Au 1er trimestre 2023, douze nouvelles vulnérabilités ont été associées aux rançongiciels (ransomwares), selon le rapport « Ransomware Index Report » (Securin, Ivanti et Cyware, juin 2023). À cette date, 7 444 logiciels de 121 fournisseurs étaient exposés à des demandes de rançons. Et 52 groupes de cybercriminels dits APT (advanced persistent threats, ou menaces avancées persistantes) étaient prêts à activer ou réactiver des rançongiciels.

Ces derniers touchent les TPE, PME et ETI (40 % des rançongiciels rapportés à l’agence nationale Anssi en 2022), puis les collectivités territoriales (23 %) et les établissements publics de santé (10 %).

Autre constat : la menace d’espionnage informatique s’accentue. Près de la moitié des opérations de cyberdéfense recensées par l’agence nationale en 2022 impliquaient la Chine.

 

Développer « l’observabilité »

Face à cette persistance des cybermenaces, un nouveau concept a vu le jour, « l’observabilité » : « Il s’agit d’assurer une surveillance continue reposant, avec un historique, sur une analyse de tous les événements couvrant l’ensemble des serveurs d’accès et serveurs d’applications de l’entreprise », explique Emmanuel Barrier, responsable Cybersécurité et Résilience chez Kyndryl France (ex-IBM Global Technology Services).

« Un tel dispositif permet une approche prédictive de certains incidents. Cela suppose de mettre en place une gouvernance orientée vers la cybersécurité, autour d’une sorte de tour de contrôle, capable d’intervenir de façon proactive. »

 

Protéger les noms de domaine

En France, près de 60 % des entreprises admettent avoir été victimes d’au moins une cyberattaque ayant provoqué une fuite de données, selon une étude d’Infoblox, spécialiste en cybersécurité :  « Les dispositifs de protection se renforcent mais les cybercriminels finissent par trouver comment les contourner. Ainsi, les authentifications multi-facteurs (MFA, utilisant un SMS ou e-mail) commencent à montrer leurs limites, car les pirates envoient des emails de hameçonnage (phishing) très sophistiqués ou des SMS qui demandent de changer un mot de passe ou de valider une action », explique Sonia Flambeau, directrice Europe du Sud d’Infoblox. « Les utilisateurs se connectent alors à un nom de domaine en tous points semblable à celui qu’ils connaissent et sur lequel ils vont saisir leurs identifiants. Or il suffit d’un seul utilisateur leurré pour que le cybercriminel s’infiltre et passe à l’attaque. » La protection des noms de domaine et du protocole de communication DNS (domain name service) est en cause ici, car 92 % des malwares exploitent ce protocole. En 2022, Infoblox a détecté plus de 1 600 noms de domaine factices, copies conformes (des lookalike), associés à des systèmes d’authentification multi-facteurs. Le phénomène est en expansion !

 

L’IA pour mieux gérer les droits d’accès

« Tous les événements suspects doivent être repérés », insiste Patrick Sena, expert sécurité chez SailPoint France, éditeur d’une solution de gestion des identités informatiques, dans laquelle un moteur d’intelligence artificielle (IA) recense et décortique les droits d’accès accordés aux collaborateurs.
Un algorithme établit des typologies d’utilisateurs (métier, comptabilité, RH, ventes, etc.) ; il est alors capable de désigner les profils à risques.
« Plus l’utilisateur détient d’accès, plus il peut susciter l’intérêt des cyberpirates. Il faut donc supprimer les accès privilégiés non nécessaires. »

 

Trois lignes de défense

Idéalement, trois niveaux de défense doivent être mis en place : une équipe opérationnelle en charge de l’infrastructure, responsable, au quotidien, de la bonne application des procédures de sécurité, des mots de passe, des mises à jour logicielles orientées sécurité (« patchs »).

En deuxième ligne de défense, une équipe de sécurité du système d’information, indépendante de la première, doit s’assurer que les opérations de protection préventive ont été réalisées correctement : elle vérifie que les correctifs logiciels (« patchs ») sont à jour ; elle réalise des « scans » de vulnérabilité et contrôle la résilience des systèmes.

La troisième ligne de défense est celle qui audite l’organisation ; elle recense l’ensemble des risques, contrôle les deux premiers niveaux de défense, et rapporte à la direction générale.

« Ainsi, chacun travaille sur son périmètre, dans la transparence ; et la confiance réciproque n’exclut pas le contrôle », souligne Laurent Gelu, responsable Zero trust (Cybersécurité) au sein de Kyndryl France.

Si l’entreprise est petite, les deux premiers niveaux peuvent être fusionnés auprès du responsable d’infrastructure du système d’information (CTO). Et une partie des missions du niveau 3 peut être confiée à un prestataire. « Mais attention, avertit Emmanuel Barrier, l’entreprise ne doit pas se départir de la gestion de risques, qui reste un domaine essentiel. »

Un prestataire sécurité IT peut proposer du conseil en organisation, une évaluation des risques et des vulnérabilités, une priorisation des investissements, mais également des « services managés », le déploiement de solutions techniques, etc.

De même, la fonction de security risk manager peut être assurée par une société spécialisée. « À elle de vérifier que le plan d’assurance sécurité est opérationnel et conforme à la réglementation, et de faire la passerelle avec les équipes de l’informatique. »

 

Mieux travailler ensemble

La question des relations hiérarchiques se pose souvent. Ainsi, la première ligne doit accepter d’être contrôlée. Or, souvent, elle est constituée des plus anciens dans l’organisation. Il faut donc apprendre à travailler ensemble…

La deuxième ligne peut avoir la mission de trouver des fonds, donc des sponsors en interne, ancrés autant que possible dans le métier et motivés par les projets. « Cela suppose une bonne cohésion entre le CIO (ou DSI), le CTO (infrastructure) et le CISO (sécurité). Commencez par vous mettre d’accord avant de porter les projets à la direction », recommande Emmanuel Barrier (Kyndryl France).

Autre point clé : ce travail de cohésion en équipe doit absolument inclure le métier : « Disposer d’un champion de sécurité IT facilite les choses, un BISO (Business information security officer), qui va agir comme un correspondant. »

 

Jean-Noël de Galzain,

FONDATEUR DE WALLIX

« LES FUITES DE DONNÉES CONTINUENT D’AUGMENTER »

« Nous constatons plus de fraudes bancaires, plus de fraudes au président (ordres de virement détournés, etc.), plus de détournements de noms de domaine (DNS), plus d’attaques contre des institutions, des médias… et contre des équipements hospitaliers, etc. », observe Jean-Noël de Galzain, fondateur et président de Wallix, société experte en sécurité informatique, qui accompagne 2 000 organisations dans le monde. Elle vient d’acquérir Kleverware, spécialiste français de la gouvernance des identités et des accès.
« Les fuites de données continuent d’augmenter car les entreprises ont tendance à externaliser certaines tâches. Résultat : la cybercriminalité est devenue la troisième plus grande menace dans le monde. »

À la suite d’une cyberattaque, les entreprises mettent plusieurs semaines voire plusieurs mois à s’en remettre. Prévention et prédictibilité sont donc devenues essentielles.

Pour se protéger, il est fréquent de faire appel à un spécialiste. C’est de plus en plus le cas pour la gestion des identités et des accès avec, par exemple, la solution Wallix IGA (identification et authentification) ou PAM for all (privileged access management, avec protection des mots de passe, traçabilité, etc.).

« Où qu’ils se trouvent, les utilisateurs doivent pouvoir se connecter au système d’information grâce à un accès très sécurisé ; ils sont reconnus, authentifiés, et ils accèdent alors à tout leur environnement de travail sans avoir à connaitre les mots de passe. Le process est automatisé. »

 

Plan de continuité

Au cœur du dispositif, la data doit être assurée d’une protection maximale, non seulement en interne mais également auprès des partenaires, clients ou fournisseurs, sous-traitants. Le principe de « zero trust » (confiance zéro) s’applique à tous.

Il faut procéder à une cartographie des risques : qu’est-ce qui peut se passer en cas d’attaque par ransomware avec chiffrement de données ? Quels seraient les impacts ? Il faut identifier les applications prioritaires, avec le taux de disponibilité nécessaire, dans l’hypothèse d’un redémarrage après interruption, jusqu’au retour à la normale. Et, avant de redémarrer, il faudra s’assurer que toutes les données récupérées sont saines…

« Quoi qu’on fasse, incidents et attaques surviendront un jour. Il faut donc travailler en sorte que l’impact soit le plus minime possible », résume Emmanuel Barrier.

 

 

 

<<< À lire également : 10 Conseils Pour Vous Protéger des Cybermenaces Pendant Les Vacances >>>

 

 

Vous avez aimé cet article ? Likez Forbes sur Facebook

Newsletter quotidienne Forbes

Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.

Abonnez-vous au magazine papier

et découvrez chaque trimestre :

1 an, 4 numéros : 30 € TTC au lieu de 36 € TTC