Le monde est en proie à une nouvelle vague de cybercriminalité beaucoup plus menaçante et récurrente, comme l'indiquait Guillaume Poupard lors des dernières Assises de la Sécurité. A cette occasion c'est la notion d'anticipation qui a été évoquée le plus souvent. En effet, toutes les occasions sont bonnes de la crise sanitaire aux attentats pour paralyser les systèmes informatiques. Du particulier à l'entreprise du CAC40, plus personne n'est épargné. Chaque entreprise doit désormais prendre la mesure de la menace !
C'est bien connu, les entreprises ne se penchent sur leur sécurité informatique qu'après avoir essuyé une cyberattaque. Cette attitude, qui consiste à attendre d'avoir subi des dommages et peut-être perdu des données pour s'apercevoir que sa sécurité informatique n'est pas la hauteur des risques encourus, est aussi dangereuse qu'onéreuse. Ne serait-il pas plus judicieux, comme le dit le proverbe, de prévenir plutôt que de guérir ? Si toutes les entreprises s'accordent sur ce point - du moins en principe, se l'appliquer à elles-mêmes est une autre affaire - encore faut-il qu'elles se donnent les moyens de mesurer la valeur de leur sécurité informatique.
Mon infrastructure est-elle sécurisée ?
La première étape de la mise en place d'une stratégie sécuritaire efficace consiste à évaluer le niveau de sécurité et les profils à risque de l'entreprise. Cette démarche consiste ni plus ni moins à préparer le terrain en temps de paix, c'est-à-dire en dehors des cyberattaques, pour parer lorsqu'elles surviendront. Sa mise en place nécessite de collecter de nombreuses données issues d'applications et d'outils d'accès à distance implémentés sur des postes de travail, tels que des logiciels sensibles qui auraient été installés sans autorisation par les collaborateurs de l'entreprise.
Cette démarche nécessite aussi de rechercher les systèmes d'exploitation et logiciels obsolètes, de vérifier que les outils de sécurité sont à jour et de s'assurer que tous les MSSP, basés sur les enseignements tirés des incidents de sécurité d'autres entreprises, sont bien pris en compte dans la stratégie de défense. Si ce bilan est indispensable, il ne constitue toutefois qu'une première étape pour assurer une cyber sécurité solide à l'entreprise.
Une analyse permanente de la menace par anticipation
Pour accroître son niveau sécuritaire, l'étape suivante implique d'évaluer les potentielles défaillances de ses infrastructures informatiques afin de les combler. Pour cela, l'entreprise doit prendre en compte son bilan et le combiner avec des données issues de l'analyse sur les menaces, c'est-à-dire des analyses permanentes et approfondies menées sur l'ensemble des cyberattaques.
Cela implique de collecter des éléments contextualisés et des informations techniques propres à l'entreprise. Ces données apporteront une vue d'ensemble non seulement des risques, mais aussi des décisions à prendre pour augmenter le niveau de cybersécurité.
Le coût restera le nerf de la guerre !
Si ces données sont exploitables par des équipes, il est important qu'elles soient compréhensibles par des non-experts pour être soumises aux dirigeants, qui seront à même de prendre les décisions. Il est à ce titre important que les équipes techniques parviennent à expliquer le bénéfice d'une amélioration de la posture de sécurité (par exemple investir dans de nouvelles contre-mesures) en établissant un lien direct entre la donnée technique et la donnée de gouvernance de l'organisation.
Pour prendre les décisions qui permettront de renforcer la sécurité de l'entreprise, les dirigeants ont besoin de comprendre le retour sur investissement d'une solution de cyberdéfense, et de projeter la dépense dans le budget. Il leur faut mesurer l'impact direct du risque sur le business de l'entreprise et mettre en perspective le coût de la contre-mesure, ou encore mettre en valeur le bénéfice de la mesure dans le modèle économique.
Anticiper oui mais à quel prix ? Les TPE ou PME qui viennent d'être victimes de cyberattaques suite à l'attentat de Conflans ne peuvent pas organiser des Red Team ou adhérer à des plateformes de renseignement sur les menaces aussi facilement que de grosses entreprises. Comment faciliter l'accès à l'anticipation ? Le premier réflexe restera celui d'appliquer les gestes d'hygiènes de sécurité - qui ne coûte rien et qui peuvent sauver des systèmes informatiques entiers.