Considérons-nous suffisamment les risques liés à la sécurité IT ?

Les entreprises n’ont pas encore suffisamment pris conscience des risques inhérents à la sécurité informatique. Aussi, n’investissent-elles pas suffisamment pour se préparer au pire. Quand on sait que 62.000 cyber- attaques ont été recensées en 2015 au Luxembourg par le CERT national, la question n’est aujourd’hui plus de savoir si son entreprise sera attaquée, mais quand elle le sera. La réponse la plus pertinente à cette question est : elle l’est certainement déjà, pourquoi l'attaque n’a-t-elle pas détectée ?

Mirco-TeroniLes entreprises n’ont pas encore suffisamment pris conscience des risques inhérents à la sécurité informatique. Aussi, n’investissent-elles pas suffisamment pour se préparer au pire. Quand on sait que 62.000 cyber- attaques ont été recensées en 2015 au Luxembourg par le CERT national, la question n’est aujourd’hui plus de savoir si son entreprise sera attaquée, mais quand elle le sera. La réponse la plus pertinente à cette question est : elle l’est certainement déjà, pourquoi l’attaque n’a-t-elle pas détectée ?

Par Sébastien Lambotte pour l’édition ITnation Mag Avril 2016

A l’heure actuelle, la cybercriminalité n’est encore que trop rarement considérée comme un risque business. Elle fait encore trop peu partie des préoccupations des dirigeants d’entreprise. C’est pourtant une erreur fondamentale. Comment peut on parler de digitalisation, d’économie numérique si la confiance numérique n’est pas en place…

Trois questions à se poser

« Depuis 2007, le TOP 10 des failles les plus exploitées n’a pas évolué. »

C’est à la manière dont les acteurs économiques appréhendent cette problématique que l’on peut évaluer leur maturité vis-à-vis des questions de sécurité informatique, en considérant ce qui est mis en place au niveau technologique, mais aussi et surtout au niveau des processus et des compétences disponibles. Trois questions peuvent être posées au préalable.

  • Si demain vous vous retrouviez sous le feu d’une attaque, comment résisteriez- vous ?
  • Et si les cybercriminels avait déjà pénétré votre système, seriez-vous en mesure de les détecter
  • Si vous en êtes capable, comment réagiriez -vous une fois l’intrusion identifiée ?

Des tests d’intrusion régulièrement réalisés auprès de nos clients démontrent que, dans 95% des cas, les systèmes ne permettent pas de résister. Ce n’est pas une surprise. Tout cybercriminel qui a la volonté de pénétrer dans un système y parviendra aujourd’hui, quelle que soit la quantité de barrières établies. Toutefois, les « méchants » fonctionnent souvent de manière opportuniste, en exploitant les failles les plus courantes. Beaucoup agissent comme des cambrioleurs. Si la porte d’entrée résiste un peu, ils font marche arrière et passe au voisin. En matière de sécurité informatique, dans la plupart des cas, il suffit de renforcer suffisamment, et j’aurais tendance à dire malicieusement, certains contrôles pour que le cybercriminel décide d’aller voir si ce n’est pas plus facile chez le voisin. L’idée est d’adopter une approche agile de la sécurité de l’information en fonction des méthodes d’attaques en cours et des menaces réelles.

Les mêmes failles exploitées depuis 10 ans

Or, les principales failles exploitées sont connues. Si l’on regarde le TOP 10 des vulnérabilités impactant les sites Web et régulièrement évaluées par l’OWASP, on constate que le classement n’a pas évolué depuis 2007. Etonnant. Ou plutôt révélateur d’un manque de culture liée à la sécurité au cœur des entreprises et des Universités, et d’une faible considération de ces enjeux dans les projets de développement. C’est notamment dans ce contexte que nous avons mis en place la Code Hackademy, à destination des professionnels du développement applicatif. Il faut pouvoir, aujourd’hui, renforcer une culture de cybersecurity by design. Si les acteurs économiques ne prennent pas ces problématiques en considération aujourd’hui, c’est le régulateur qui le fera, comme il le fait déjà en matière de protection des données personnelles ou plus généralement dans les régulations financières…

Dans la plupart des cas, au-delà de la détection, on constate une impréparation des équipes en matière de traitement de la menace et de réaction suite à une attaque. Dans un environnement où les systèmes régissent l’opérationnel et où la data est devenue une valeur critique, la situation est inadaptée.

Des outils et des compétences disponibles

« Pouvoir répondre à toute attaque implique d’opérer une bonne gestion des risques. »

Pourtant, des solutions pour accompagner les organisations existent. C’est le cas du Security Operations Center (SOC) que nous opérons, qui permet de détecter, grâce à une surveillance 24h/24, des tentatives d’intrusion à distance. Le défi, à ce niveau, est de pouvoir modéliser des comportements malicieux et de pouvoir les appliquer à l’environnement du client. Il n’y a qu’en ayant une bonne compréhension des cybercriminels et de leur manière d’opérer que l’on pourra mieux identifier les menaces. C’est pour cela que nous avons regroupé des spécialistes de l’intrusion, qui peuvent dès lors nous aider à mieux protéger nos clients. Rares sur le marché, ces compétences sont mutualisées au sein de notre équipe pour offrir le meilleur service. Excellium a un plan de croissance important avec comme objectif de multiplier par 3 ses objectifs à 2 ans, pour accompagner la demande toujours croissante de nos clients. Au-delà de la détection, il faut pouvoir établir des scénarios, afin de définir les manières d’agir en cas d’attaque et réagir. Nous accompagnons ici aussi nos clients en la matière, dans la réaction, avec notre CERT, en les conseillant ou en leur apportant des recommandations concrètes.

Nous disions que les acteurs économiques n’investissaient pas suffisamment dans la sécurité eu égard aux risques encourus. Mais quels sont- ils ? Ils peuvent être de diverses natures : réputationnel, financier, organisationnel. Les attaques de type crypto-locker, comme celle qui a récemment paralysé un hôpital américain, sont révélatrices de ce risque. Non seulement le système de l’organisation s’est retrouvé paralysé mais aussi il n’a pu être libéré que contre paiement d’une rançon réclamée, ou du moins une partie de celle-ci. L’hôpital a payé l’équivalent de 17.000 dollars en bitcoins. Les malfaiteurs réclamaient au départ v3,4 millions de dollars selon les informations que l’on a vu sur le web.

Avant tout, bien considérer le risque

Les entreprises doivent être prêtes. Aucune, aujourd’hui, n’est à l’abri d’une telle attaque. Y répondre implique d’opérer une bonne gestion des risques. Aujourd’hui, chaque dirigeant devrait se demander où il en est par rapport à cette problématique. C’est le point de départ d’une saine réflexion vis- à-vis des risques encourus. Il faut commencer à identifier les données et systèmes critiques au fonctionnement de l’organisation et à renforcer la sécurité autour de ces éléments en priorité. Il faut savoir si, en permanence, l’entreprise est capable de détecter une attaque et si les équipes sont en mesure de réagir en cas de problème. Reste à choisir si les réponses apportées aux questions de sécurité sont développées en interne ou avec l’aide de partenaires extérieurs. En l’occurrence, la hauteur de l’investissement en sécurité dépendra toujours du risque encouru.

Mais le premier challenge est d’abord d’identifier, considérer et comprendre le risque. La sécurité de l’information a toujours été promue par des messages de peur, mais malheureusement on s’aperçoit que cela n’a pas l’effet souhaité. Le management doit voir la sécurité de l’information comme une opportunité pour soutenir et protéger son business et non pas uniquement un coût et une contrainte. Espérons qu’une approche par les risques que les nouvelles générations de spécialistes de la sécurité adoptent de plus en plus permettra d’améliorer l’état des lieux.

En photo : Mirco Teroni, Head of GRC consulting services