Etre agile pour une entreprise ce n’est pas seulement se transformer digitalement, c’est aussi savoir se prémunir des cyber attaques. Encore trop peu d’entreprises en prennent le chemin. Pourtant c’est une source de rendement et d’efficacité qui dépasse la simple sécurité du système d’information, selon Enjeux Cyber 2016, l’étude menée par Deloitte France.
La NSA essuie jusqu’à 3000 cyber attaques par seconde avec des pics pouvant aller jusqu’à 300 millions par jour, même si le nombre moyen se situe plutôt aux alentours de 80 000 attaques quotidiennes. Un phénomène qui ne touche pas que le data center de l’Utah comme le soulignent Michael Bittan et Fouzi Akermi, respectivement associé responsable et manager de Cyber Risk Services de Deloitte France : « En France, nous estimons à 50 le nombre d’attaques par jour que subit une entreprise. Or même un incident mineur peut avoir un effet majeur ». Avec parmi les menaces visibles les plus régulières : hack des terminaux de paiement et de retrait, injection de code malveillant sur un site web (XSS), vol de bases de données (SQLI), e-mails contrefaits (phishing), paralysie du SI et demande de rançon (ransomware). Sans compter les impacts cachés comme la faille pas encore découverte, celle liée à la conception du matériel, le programme dissimulé garantissant un accès à l’attaquant, des objets connectés infectés de façon malveillante, des utilisateurs infectés puis utilisés pour exfiltrer de la donnée ou infecter le SI ou encore des utilisateurs légitimes compromettant le SI volontairement, par négligence ou par erreur (téléchargement d’un document douteux, perte d’un appareil, manipulation par un tiers…).
Toutefois, hors de question de penser que les entreprises et autres institutions sont seules concernées. Puisque selon une enquête de Symantec-Norton, éditeur d’antivirus, si 77% des Français sont convaincus de l’utilité de protéger leurs données, ils ne passent pas toujours à l’acte (car dépassés par le nombre d’informations à protéger ou pensant que c’est du ressort de l’éditeur) et un sur 6 (soit 13,7 millions en 2016) a été la proie de hackers (vol de mot de passe, fraude à la carte de crédit, piratage des réseaux sociaux ou électronique). Une désinvolture ne ménageant personne et encore moins les millennials ou digital natives dont le comportement sur le web reste insouciant (*).
Un incident mineur peut avoir un effet majeur
Inquiétant. D’autant que cette négligence s’étend aux entreprises trop peu nombreuses à se préoccuper de cyber sécurité avec sérieux et efficacité, comme le démontre, Enjeux Cyber 2016, l’étude menée par Deloitte France. En effet, seuls 7% des organisations (entreprises, industries, institutions…) considèrent ce sujet comme prioritaire (contre 38% pour le cloud, 24% pour la mobilité, 14% pour la mobilité, 9% l’IoT, 8% le Big Data) alors qu’elles se gargarisent toutes de leur nécessaire transformation digitale (58%). Un enjeu qui arrive en 2ème position derrière les résultats financiers (61%) et devant la satisfaction des clients (53%) ou celle des actionnaires (40%). Reléguant là encore, la cyber sécurité à la dernière place (12%) après l’innovation (30%). De même, elles ne sont que 31% à intégrer cette priorité dans leur top ten. Bizarre quand elles sont 58% à se considérer exposées et 25% très exposées contre 15% peu exposées et 2% pas exposées. Quant à sa prise en charge, si tous les degrés de fonctions se disent concernés au quotidien, elle est assurée à 66% par le DSI, 24% par le Dg, 7% par le DAF et 3% par une direction métier.
Au-delà de la bonne gestion de leur transformation digitale, il est essentiel et urgent que les entreprises (gros groupes ou start-up) se préoccupent de ce volet qui concerne leur santé et aborde un nouveau tournant avec notamment l’intensification de la législation en Europe les conduisant à revoir leurs plans d’actions. En effet, le Général Data Protection Regulation concernent toutes les entités qui collectent et stockent des données personnelles dont les propriétaires peuvent être identifiés directement (par l’entreprise) ou indirectement (par un tiers). Son entrée en vigueur -d’ici à deux ans- les oblige à s’assurer du consentement explicite des individus et toutes les données doivent pouvoir être transférées à leur propriétaire ou effacées à sa demande. Sans compter l’obligation de transparence et le devoir d’alerte auprès des autorités compétentes en cas de fuite d’informations. Mais aussi une incitation à se doter d’une organisation interne capable de gérer ces questions de protection de data. « Il faut sécuriser ce qui compte pour l’entreprise, car le risque zéro n’existe pas et il faut tenir compte du risque associé », souligne Michael Bittan « Or plus on connait les menaces et la manière dont elle se déroule plus on est vigilant et on réduit les cyber attaques. Plus aussi on remet en marche rapidement le système sans perdre d’informations ».
Dépasser le business de la peur, grâce à la formation des hommes
Une conformité qui leur permettra de se prémunir de sanctions financières importantes via un impact négatif sur leur réputation ou sur les coûts d’assurance, la perte de clients, le refus d’être référencé par des partenaires en cas de non-conformité (qui pour y être, nécessite un appel d’offre et 3 mois de procédure), le pillage de concept (espionnage) ou de fichiers (destruction de données, altération d’infrastructure…), de fragiliser leur gouvernance, d’être exposés à des demandes de rançons qui une fois payées ne permettent pas toujours de récupérer ce qui a été piraté. Et des dispositifs il en existe, de l’approche Secure by design, au nouvelles formes d’authentification comme la biométrie (mécanisme utilisé que par 5%) ou la fédération d’identité (utilisée par 31%) en passant par les audits, des études de vie sur les cycles de vie de la donnée, tests d’intrusion, scan de vulnérabilité, les certifications du type ISO 27001, le chiffrement, la création de containers (pour gérer les espaces pros des smartphones et des ordinateurs pour pouvoir tout effacer à distance)… « Plutôt que de simplement maîtriser et supprimer les risques une fois qu’ils se présentent », confirme Fouzi Akermi « nous préférons une approche différente où la cyber sécurité est une opportunité, une source de progrès dans la R&D avec une gestion intelligente et innovante des risques -via le tryptique Secure,/Vigilant/resilient- où ils deviennent positifs car ils lui permettent d’améliorer son rendement et sa performance. Ainsi, pleinement intégrée aux décisions stratégiques, cette gestion est un avantage concurrentiel et compétitif ».
Enfin les deux experts insistent sur le volet de la formation et des hommes : « Il est essentiel d’avoir recours à des experts et d’optimiser les investissements. En effet la sensibilisation en interne -qui ne se résume trop souvent qu’à des affiches ou à la charte placardée dans un coin- reste encore trop souvent le parent pauvre en entreprise. L’aspect humain doit absolument être intégrer dans le processus avec des ateliers et du e-learning… Savoir permet de maîtriser mais aussi d’anticiper et d’innover. Et donc de dépasser le business de la peur ». D’ailleurs pour évaluer le niveau de vos connaissances, voici leur test : Mythe ou réalité.
– Nous avons beaucoup investi pour sécuriser notre système d’information. Des actions supplémentaires ne sont pas nécessaires : mythe. Une mise à jour des dispositifs et une information régulière des employés sur les cybermaces sont capitales.
– Notre entreprise est modeste pour être la cible d’une cyber attaque : mythe. Les PME sont la 1ère cible des hackers dans le cadre de ransonwares. En raison de leur fragilité, de leurs partenariats et des données manipulées.
– Surveiller en permanence les nouvelles menaces est essentiel : réalité. Il y a une montée en puissance de menaces de plus en plus sophistiquées. Les surveiller permet de détecter ses propres vulnérabilités et de déployer les patches qui maintiennent un bon niveau de sécurité.
– Notre entreprise peut réaliser seule la veille des menaces : mythe. Impossible face à la multiplicité des tactiques et outils. Il est recommandé de rejoindre une communauté de Cyber Threat Intelligence pour obtenir et partager des informations…
– Une stratégie de réponse à incident doit être testée : réalité. Les interactions entre les systèmes d’information et le métier évoluent constamment. Etre résilient permet à l’entreprise d’endiguer rapidement l’incident et ses conséquences avec un effet sur les volets financier et de réputation.
(*) publiée par Le Point.
