Stratégie

Michael Bittan (Deloitte) : « Il ne s'agit pas d'être anxiogène, mais de bien montrer l'étendue des nouvelles menaces ».

Retrouvez cet article dans le CIO FOCUS n°136 !

Cybersécurité : Menaces évidentes, menaces cachées

Les entreprises sont menacées lorsque leur SI l'est. Si certaines menaces sont évidentes, d'autres le sont moins ou sont négligées. Et les risques encourus sont alors importants. Les très classiques attaques DDOS (par déni de service) ou les exploitations de failles pour pénétrer le SI demeurent...

Découvrir

---

Lors de la Matinée Stratégique « Cybersécurité : menaces évidentes, menaces cachées » organisée par CIO le 28 février dernier à Paris, Michael Bittan, associé et directeur de la practice cybersécurité de Deloitte Paris, a analysé la situation en ouverture.

PublicitéEn ouverture de la Matinée Stratégique sur la cybersécurité organisé par CIO, Michael Bittan, résumait ainsi son intervention : « Il ne s'agit pas d'être anxiogène, mais de bien montrer  l'étendue des nouvelles menaces ». Ce qu'il fit, un brin provocateur, en déroulant chiffres, exemples et analyses. Des chiffres issus de différentes études françaises, internationales, concernant aussi bien les PME que les  grands groupes.

Premier chiffre, livré par le ministre de la défense Jean-Yves Le Drian, celui des cyberattaques externes bloquées en France en 2016 : 24 000. Une entreprise sur deux perçoit les attaques de plus en plus puissantes et 92% d'entre elles ont fait l'objet d'une intrusion au cours des cinq dernières années. C'est clair, notre quotidien est fait de cybersécurité. « Pour réagir, il y a des fondamentaux, comme l'anticipation, la meilleure défense c'est bien l'attaque, on doit anticiper et analyser pour se préparer à répondre, de manière simple, et à prendre des mesures aussi bien organisationnelles qu'humaines.

La stratégie et la gouvernance des risques cyber est importante. « Mais beaucoup de ces stratégies ne sont pas forcément très pragmatiques, le but est que la stratégie soit très concrète et fasse l'objet d'une étude de maturité de l'entreprise. Elle ne doit pas être un frein, passer sous un empilement de couches de produits. Aujourd'hui, les boards des grandes entreprises nous posent la question de l'empilement de différentes solutions. L'analyste a affirmé : « on travaille sur une stratégie où le RSSI met les budgets là où il en a vraiment besoin ».

Anticiper et faire évoluer

La formation est aussi très importante et doit faire partie de la stratégie et de la gouvernance. Souvenons-nous de l'exemple de Grooping Elephant qui a réussi à dérober les données sensibles en exploitant du social engineering et du malware. Mais le maintien en conditions opérationnelles, les mesures de sécurité efficaces ne sont possibles que si on anticipe et on a la capacité à les faire évoluer au quotidien. 

Quelques chiffres marquants pour parler de violation de données. Selon Verizon, 63% des violations de  données se font avec usurpation d'identités, en utilisant la faiblesse des mots de passe, leur vol, ou bien l'utilisation de mots de passe par défaut. Selon le même rapport, 66% des mauvais usages concernent les abus de privilèges.  La cybersécurité est bien le premier  rempart, et la gestion des identités la clé, ce qui implique de modifier les process et l'organisation de  l'entreprise, et d'impliquer les RH avec une conduite du changement. Trop de mots de passe finissent sur des post it ou à proximité, mais il faut être en capacité de simplifier la vie des utilisateurs.

« Autre sujet, évidemment, la transformation digitale, qui est extrêmement galvaudée : on veut avoir accès par des tablettes et des smartphones aux applicatifs, ce n'est possible que si une gestion des identités est suffisamment forte dans votre entreprise » a-t-il continué. Des attaques DDOS en 2016 ont par exemple rendu l'accès à Airbnb ou à Spotify difficile, l'utilisation de l'IoT peut se révéler problématique en termes de sécurité. 

PublicitéLa sécurité ne peut être un frein

« J'enfonce encore une porte ouverte », glisse parfois Michael Bittan dans son intervention. Une personne dans l'assistance l'interpelle d'ailleurs : « ça fait dix ans que vous, ou d'autres, dites la même chose et rien ne change ». « Effectivement, ça ne change pas, ça évolue et ça grossit, les usages et les besoins évoluent, le business aussi. La sécurité ne peut être un frein au développement des activités et business ».

Le niveau de sécurité doit être adapté, on doit s'adapter, à la transformation, aux usages, au business et aux  RH qui peuvent être potentiellement attaqués et corrompus, on ne doit pas les bloquer, on doit accompagner le business et en anticipant ce qui peut se produire, faire l'analyse de la sécurité  applicative. 

On a aussi la partie cyberintelligence, ce que vous trouvez comme informations sur le darknet, le social engineering. Tout celà peut se faire dans des labs, les grands groupes se structurent autour d'un lab, les collaborateurs font par exemple de l'audit de codes, des tests d'intrusion, ils  veulent un accompagnement différent avec un scénario lié aux métiers, aux techniques et  au social engineering, mais avec des  scénarios propres à leur activité.

En vente sur le darknet

La compromission de données est également prégnante avec 1093 compromissions de données personnelles enregistrées en 2016, uniquement sur  des évènements rapportés. Autre  chiffre, 36,6 millions de données personnelles sont ne vente sur le darknet, mais 50,7% des compromissions de données personnelles connues ne référencent pas le nombre d'enregistrements ayant été exposés. En fait, on se fait attaquer, on perd des données et on ne sait pas précisément ce qu'on a perdu.

Sujet d'actualité, le GDPR est évidemment au premier plan. « Nul ne peut ignorer la loi ! Les RSSI et leurs entreprises doivent faire face à nombre de règlementations, comme la Loi de programmation militaire, la LMP pour les OIV.  Concernant GDPR, dont la dead line se rapproche, il faut garder en tête la nécessité de préserver le patrimoine informationnel, il faut absolument une vision pas seulement cyber ou SI, il faut pouvoir accompagner les différents métiers et le business, il  faut une vision technique d'abord, mais aussi RH, juridique, data, et une vision globale dans l'entreprise de la compliance ».

Finalement, quel rôle joue vraiment la cybersécurité dans l'entreprise ? Quelques chiffres : 18% des organisations ont expérimenté un défaut dans leur SI en ligne interne ou externe dans les derniers 12 mois, 79% des décideurs redoutent une crise d'ici 12 mois, 59% des décideurs ont déjà géré une crise dans leur organisation, et 10% de ces organisations anticipent un défaut de sécurité dans leur  SI, en ligne ou interne  dans les douze prochains mois.

Gérer l'imprévisible

La cybersécurité  apporte une solution à l'imprévisibilité, on peut être pro actif, assurer la continuité d'activité et la gestion de crise, mais sans regarder uniquement la technique. L'humain est très présent, comment on déplace ses collaborateurs ? Comment faire face aux attaques  virales ? RPCA et RSSI se parlent-ils ? Avant un datacenter était une garantie, maintenant le fait de basculer vers ces centres ouvre beaucoup d'incertitudes, en propageant plus facilement d'éventuelles failles. La gestion de crise entre également ne ligne de compte, une faille si elle est connue peut déboucher sur une amplification médiatique.

Souvenons-nous de Sony, une intrusion dans les serveurs a entraîné la compromission de 25 millions de comptes utilisateurs. Ces serveurs hébergeaient des jeux de rôles multi-joueurs. Plus tard, les services du réseau Playstation et Qriocity ont été compromis, faisant 77 millions de victimes. Ce qui a nécessité trois semaines de suspension d'activité et une perte financière de 171 millions de dollars.

Dernier thème traité par Michael Bittan, celui de l'industrialisation du piratage. Avec des facilités d'attaques et de surfaces sans cesse plus importantes. Un outil de hacking simple coute 1367 dollars, à la portée d'un groupe d'étudiants. Les systèmes industriels connectés sont vulnérables à 92%. Et nous aurons 50 milliards d'objets connectés d'ici cinq ans !

Article rédigé par

Didier Barathon, Journaliste

Partager cet article