Stratégie

Maîtriser le risque à l'heure des menaces complexes : de la cybercriminalité au risque fournisseur

Le 20 mai 2014, CIO a organisé une conférence sur la maîtrise des risques dans le contexte d'émergence croissante de menaces de plus en plus complexes et diverses. La conférence était organisée en partenariat avec Akamai, Check Point, Intel Security, Level 3, Trend Micro et FireEye.

PublicitéLa maturité des organisations à l'égard des menaces de plus en plus complexes pesant sur l'IT est tout à fait insuffisante. Il ne s'agit pas seulement de cybercriminalité mais bien de l'ensemble des risques internes et externes pouvant impacter l'IT. Ces risques sont peu, mal voire pas gérés dans de trop nombreux cas. C'est le principal résultat de l'étude CIO dont les résultats ont été divulgués lors de la conférence Matinée Stratégique « Maîtriser le risque à l'heure des menaces complexes » organisée par CIO le 20 mai 2014 au Centre d'Affaires Paris Trocadéro. Akamai, Check Point, Intel Security, Level 3, Trend Micro et FireEye étaient partenaires de l'événement.

Simplifier les tâches face à la complexification des menaces

L'un des problèmes de la complexification des menaces est celle, induite, des tâches nécessaires pour gérer ces menaces. Le coût de cette gestion explose, tout comme le risque d'erreurs pouvant créer des failles dans la sécurité. « Il est indispensable de rationaliser les tâches des administrateurs de la sécurité en les dotant d'une console unique, simple à gérer, et possédant des garde-fous » a martelé Rémi Enjalbert, Ingénieur avant-vente, Mc Afee - Intel Security.

François Beaume, président de la commission SI de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise), confirme : « il y a une accélération des changements ces dernières années, notamment avec le nomadisme qui change le visage des systèmes d'information mais aussi avec les services généraux sur IP : désormais, même les photocopieurs peuvent stocker des données sensibles. » Animateur de la prise en compte des risques par chaque fonction de l'entreprise, dont la DSI, le gestionnaire de risques doit ensuite s'assurer de la bonne couverture de ces risques, éventuellement avec un transfert vers les assureurs quand c'est possible.

La cybercriminalité ne doit pas être négligée

La cybercriminalité ne doit pas être négligée

Malgré tout, la classique cybercriminalité ne doit pas être négligée. « Les attaques ciblées ont touché toutes les grandes entreprises, "être une cible" est la norme mais les entreprises ne détectent les agressions que rarement ou longtemps après... », a regretté Loïc Guézo, Information Security Evangelist pour l'Europe du Sud chez Trend Micro. Il a insisté sur la nécessité d'avoir une réponse globale sur toutes les faces du SI mais sans ajouter une nouvelle couche de complexité.

« Toutes les faces » va cependant bien au delà du seul SI au sens strict, même quand on parle de menaces sur l'IT. Il faut en effet inclure les risques associés aux fournisseurs, partenaires et clients, bien entendu ceux qui le sont à la cybercriminalité comme ceux en matière d'Intelligence Economique. C'était le sujet d'une table ronde réunissant Christian Fouquet (Directeur audit et risques du laboratoire LFB), Yannick Kereun (RSSI de Docapost BPO), Philippe Ramon (Chef du pôle sécurité économique et affaires intérieures à la DIIE, Délégation interministérielle à l'intelligence économique) et Didier Sallé (Directeur Achats du Groupe Atalian, membre de la CDAF, Compagnie des Dirigeants et Acheteurs de France).

PublicitéMaîtriser les risques au-delà de votre réseau

En tant qu'opérateur de télécommunications, Level 3 gère la sécurité de son propre réseau et de celui de ses clients. Avec une présence à l'international, le réseau de Level 3 transporte une très grosse partie du trafic Internet. Anne-Sophie Marencic, Account Director France Level 3, affirme : « nos infrastructures permettent de corréler les incidents et détecter les attaques avant que celles-ci n'atteignent nos clients. Notre portefeuille sécurité permet de sécuriser la partie « infrastructure » mais aussi au-delà en sécurisant notre offre CDN (Content Delivery Network) et notre offre Cloud »

C'est aussi la logique développée par Akamai, connue pour ses seules activités de CDN. «Quand vous surfez sur le web, vous passerez presque à coup sûr, à un moment donné, par un serveur Akamai. Nous avons ainsi une connaissance très fine de ce qui se passe en temps réel sur internet, nous permettant ainsi d'en assurer la performance et la sécurité nécessaires dans un monde de plus en plus hyperconnecté. » a expliqué Christopher Wiltberger, Regional Sales Manager d'Akamai. Emmanuel Macé, Senior Solutions Engineer chez Akamai a renchéri : « nous prenons le contrepied de l'attitude classique : Internet n'est pas la menace mais la solution ».

Le Grand Témoin de la matinée était Alain Bouillé, Président du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique). Il a, quant à lui, explicité le rôle du RSSI dans cette gestion du risque face aux menaces complexes.

Les hommes remplacent les machines

Les hommes remplacent les machines

L'une des menaces à prendre directement en compte par le RSSI est évidemment celle de la cybercriminalité. Les attaques avancées sont en moyenne détectées au bout de 243 jours. Cette détection est le point critique. « Derrière les attaques, il y a de plus en plus souvent des humains avec des capacités d'adaptation à vos réponses et plus des robots stupides » a insisté Thibaud Signat, Responsable Avant-Vente de FireEye Europe du Sud. Ces cyber-attaques de nouvelle génération se jouent désormais de tous les systèmes traditionnels d'anti-virus, firewall et autres IPS avec une facilitée déconcertante. Sur 13 attaques "zero-day" détectées l'an dernier, 11 l'ont été par la technologie FireEye.

Si le risque se réalise malgré tout, il faut donc en assumer les conséquences et, auparavant, les avoir anticipées. Nicolas Hélénon, courtier chez Neotech Assurances, et Etienne Papin, avocat associé au Cabinet Feral-Schuhl / Sainte-Marie, ont explicité comment l'appréhension juridique et assurantielle des risques pouvait être une réponse à ce besoin.

La nouveauté ne doit pas faire oublier les menaces classiques

Répondre à tous les risques, ou bien accepter de les assumer, est donc bien une nécessité. S'il faut identifier les risques nouveaux, complexes, évolutifs, les bonnes vieilles menaces traditionnelles sont toujours là et leur gestion doit être incluse dans la gestion globale des risques. En conclusion, Philippe Rondel, Directeur Technique France de Checkpoint, a insisté : « méfiez vous des discours 'ça ne suffit plus' ; évitez de les transformer en 'ça ne sert plus à rien' ! Il ne faut pas oublier les fondamentaux. »