Photo par Pawel Czerwinski via Unsplash
Multiplication des réglementations, budgets en berne, sous-effectifs d’experts, etc. : malgré l’apparition de nouvelles menaces accentuées par la pandémie de Covid-19, les enjeux autour de la cybersécurité peinent encore à trouver des solutions pérennes.
Si l’année qui vient de s’écouler confirme l’urgence à agir, il est aussi question de prendre le temps de mieux connaître les rouages des attaques cybercriminelles. Pour y faire face, le cabinet de conseil en transformation des entreprises Wavestone propose non seulement des approches pour se protéger en amont mais aussi des réponses en cas de crise.
Entretien avec Gérôme Billois, Partner Cybersecutity & Digital Trust à la tête d’une équipe de 600 experts pour un éclairage passionnant sur les contours d’un domaine hautement médiatisé mais encore sous-estimé.
-
Les enjeux de la cybersécurité semblent avoir pris une nouvelle dimension avec la pandémie. Pouvez-vous d’ores et déjà dresser un bilan pour l’année 2021 ?
Nous avons en effet pu tirer quelques tendances de fond à l’aide d’un benchmark basé sur 60 incidents majeurs dans les entreprises ainsi que chez les acteurs financiers. Côté entreprise, l’appât du gain demeure toujours le mobile numéro 1 des cybercriminels. Le mode opératoire passe à 60% par les ransomware. Ces logiciels malveillants bloquent le système d’informations dans le but de voler des données tout en exigeant une rançon pour récupérer l’accès au matériel informatique et la “promesse” de ne pas divulguer les données récoltées.
Ce type d’attaque en forte croissance est non seulement violent pour l’entreprise mais peut en outre s’installer sur un temps long, occasionnant des coûts importants : il faut attendre au moins deux semaines pour que 80% du système informatique fonctionne à nouveau et deux mois pour mettre en place des bases de protections plus solides afin de faire face à une éventuelle nouvelle attaque.
Pour les acteurs financiers, les menaces proviennent principalement d’autres États qui cherchent à exfiltrer des données sensibles avec des conséquences parfois dramatiques. Le mode opération est ici plus insidieux. En cherchant à se créer discrètement un camp de base dans les systèmes informatiques, l’acteur malveillant se tient ainsi près à une attaque soit sur la base d’un ransonware, soit par des coupures d’accès d’énergie à l’instar de ce qui s’est passé dans la ville de Kiev, en Ukraine.
Enfin, les menaces d’origine activiste, comme celles perpétrées par les anonymous sont toujours présentes mais dans une moindre mesure qu’auparavant. Le contexte social joue pour beaucoup. On a ainsi vu une recrudescence d’attaques dans le cadre du mouvement Black Lives Matter ainsi qu’en réponse à la mise en place du pass sanitaire en France avec une infiltration dans les systèmes d’informations de l’APHP.
VOUS SOUHAITEZ ENTRER EN CONTACT AVEC DES STARTUPS INNOVANTES ?
-
Face à ces différents types de menaces, comment les différents acteurs peuvent-ils se protéger ?
Il est essentiel de partir du type de menace afin de réagir. Dans tous les cas, la clé de voûte de protection réside dans l’anticipation.
Le premier niveau de réaction implique nécessairement le responsable de la cybersécurité qui peut être rattaché à la direction générale, ce qui est fortement recommandé, mais aussi à la direction des risques, etc. L’essentiel de la réponse apportée à une attaque commence par le niveau d’importance auquel est rattaché ce personnage essentiel pour prémunir l’organisation des attaques.
Trois grandes actions doivent ensuite être déployées : construire une démarche de cybersécurité pérenne avec les premières analyses de risques notamment autour des données pour identifier ce qui est le plus sensible afin de mettre en place des indicateurs. Vient ensuite l’étape de remédiation, c’est-à-dire de solidification du système informatique dans toute l’organisation pour assurer la cohérence de la réponse en cas d’incident. La dernière étape consiste à étendre le niveau de protection non seulement au système informatique mais aussi aux données, notamment sur certains périmètres métiers avec une attention toute particulière apportées aux données financières, de santé, etc.
La sensibilisation des équipes est clé tout au long de ce processus, d’où l’importance de la place accordée au responsable de la cybersécurité au sein de l’organisation qui doit pouvoir avoir une forte marge de manœuvre et l’écoute attentive des dirigeants. Il est aussi nécessaire de déployer plus de ressources humaines pour répondre à ces enjeux. En moyenne, une personne dédiée à la cybersécurité est dédiée à 800 employés. Dans le secteur de la finance, c’est une personne pour 200 employés.
-
Quelles sont pour vous les grandes tendances pour les enjeux de cybersécurité en 2022 ?
Le numérique irrigue de plus en plus toute l’entreprise tout secteur confondu. Les acteurs industriels font donc aussi l’objet de nouvelles menaces et doivent s’y préparer. On ne parle pas ici que de la protection des unités de production mais aussi des produits.
Les biens de consommation doivent aussi être protégés par défaut avec différents degrés de protections technologiques. Si l’on prend l’exemple d’une voiture, il ne s’agit plus de vendre un modèle sûr en termes de sécurité routière mais aussi de technologies embarquées capables de filtrer les flux de données pour éviter les attaques malveillantes.
Le développement numérique concerne aussi le cloud qui doit être traité de manière spécifique quand il est question d’attaques cybercriminelles. Jusqu’ici, il était avant tout été question de théorie autour du sujet de la souveraineté. Mais ces enjeux se sont accélérés au cours des derniers mois et ils occuperont une place prépondérante en 2022 avec le déploiement de nouvelles offres qui se veulent souveraines.
Enfin, la question de la formation des experts en cybersécurité devrait aussi être au cœur des débats. La pénurie de compétences est aujourd’hui criante au sein des organisations. En conséquences, les délais de prestations de conseil s’allongent et cela induit nécessairement des risques d’attaques non couvertes.
Il est urgent que les organisations prennent conscience de la nécessité d’investir pour créer une dynamique qui aboutirait à la naissance d’une filière qui soit attirante non seulement pour recruter à l’extérieur mais aussi permettre des parcours de mobilité interne.
C’est une des clés pour redorer la fonction de responsabilité de la cybersécurité et sortir des clichés du hacker en train d’agir au fond d’une cave ! Proche des métiers en lien avec l’analyse des risques mais aussi de diplomates, les viviers de compétences existent mais il faut évangéliser.
En parallèle de la pénurie de ressources humaines, l’accent doit être mis sur l’Intelligence artificielle. Certaines tâches automatisées pourraient ainsi permettre à l’humain de gagner en efficacité face à des attaques de plus en plus rapides. Jusqu’à 40.000 PC peuvent dorénavant être chiffrés de manière malveillante en 45 minutes !
Dans ces enjeux géostratégiques mondiaux, la France a une place à prendre. Malgré le dynamisme de l’écosystème français sur ces sujets, il faut investir plus et agir vite. Les startups de la cyber ont levé 100 millions d’euros en un an. Si le chiffre est important, ce n’est pourtant pas assez pour changer la donne. L’objectif est donc de convaincre les organisations de se doter de nouvelles innovations et de former les équipes afin de donner la place qu’il convient à ces sujets majeurs.