Cybersécurité : la technologie n'a pas réponse à tout !

Alors que la menace de cyberattaques ne cesse d'augmenter, beaucoup d'entreprises se pensent à tort protégées. Il est temps pour elles de réellement anticiper cette menace, de construire une politique de cybersécurité structurée autour de fondations solides ainsi qu'une gouvernance adaptée et efficace face à ce type de risques. Une tribune signée Benjamin Cauwel, Security Senior Manager chez Accenture.

Il ne se passe pas une semaine sans qu’une nouvelle affaire de cyberattaque ne défraye l’actualité. En juillet dernier, une chaîne de supermarchés était contrainte de fermer la quasi-totalité de ses 800 magasins, dont les caisses étaient paralysées. Quelque temps plus tôt, c’était la fermeture d’un oléoduc américain qui poussait une compagnie aérienne à modifier certains de ses plans de vol et provoquait une hausse du prix du carburant aux États-Unis.

Depuis le virus NotPetya qui, en juin 2017, avait coûté plus d’un milliard d’euros aux entreprises affectées, la liste des victimes directes ou indirectes de rançongiciels (ou ransomwares) ne cesse de s’allonger à un rythme spectaculaire, même si beaucoup d’entreprises préfèrent passer sous silence leurs déboires. En France, selon l’Agence nationale de la sécurité des systèmes informatiques (ANSSI), le nombre d’entreprises touchées a été quatre fois plus élevé en 2020 qu’en 2019.

Toute entreprise est une cible

Quels que soient son secteur d’activité, sa taille ou son implantation géographique, la question pour une entreprise n’est plus de savoir si elle sera frappée par une cyberattaque, mais quand. Selon le « Rapport 2021 sur les risques mondiaux » du Forum économique mondial[1], la cybercriminalité fait partie des risques les plus probables avec ceux associés au réchauffement climatique. Au-delà des pertes financières liées à la désorganisation ou à l’interruption de l’activité, les conséquences peuvent être dramatiques.

Aucun secteur d’activité n’est à l’abri de ces attaques contre demande de rançon. Si l’espionnage classique, tourné vers le vol de données et de secrets industriels, touche principalement des activités stratégiques ou technologiques, les attaques par rançongiciels balayent beaucoup plus large. Ni la PME du BTP ni l’établissement scolaire ne sont épargnés. Victime d’une cyberattaque, une entreprise lyonnaise de lingerie haut de gamme a ainsi été contrainte de se placer en redressement judiciaire pour assurer sa survie.

Ce tableau devrait être une raison suffisante pour prendre à bras le corps le sujet de la cybersécurité. D’autant qu’il n’y a aucune raison que la situation s’améliore à moyen terme. La cybercriminalité prend aujourd’hui de multiples visages, donnant à la menace un caractère diffus et protéiforme.

Tout aussi inquiétante est la démocratisation des technologies cybercriminelles : ainsi des plateformes de ransomware as a service (RaaS), qui proposent à tout un chacun d’acheter un kit de ransomware existent déjà sur Internet.

Une résilience en trompe-l’œil

Pourtant, de nombreux dirigeants n’ont pas encore pris la mesure du risque et beaucoup d’entreprises s’estiment à tort protégées. Mais leur résilience est en trompe-l’œil. Souvent, leur politique de cybersécurité se résume à ajouter des strates de protection coûteuses et sophistiquées sans s’assurer de la solidité des fondations, à l’instar d’un pâtissier qui cacherait sous des couches de glaçage tape à l’œil un gâteau desséché. En outre, malgré les alertes, les budgets visant à renforcer leur cybersécurité sont souvent limités voire refusés. En effet, il n’est pas rare qu’il y ait une dissociation dans l’appréciation du risque cyber entre le responsable de la sécurité et le comité exécutif au sein des entreprises, mais aussi entre les entreprises.

Celles qui ont déjà été hackées ont mis en place des processus de détection des failles, de réaction et de poursuite d’activité sans se poser la question des ressources financières. Elles savent que si leur système informatique ne fonctionne plus, leur activité est paralysée et les pertes peuvent s’élever jusqu’à plusieurs dizaines de millions d’euros par jour pour les plus grands groupes. Les autres estiment généralement qu’elles ne sont pas concernées ou sont prêtes à faire face à une intrusion.

Par ailleurs, lorsqu’une grande entreprise est attaquée, la principale difficulté de la réponse est régulièrement liée à la gouvernance : qui prend les décisions ? La holding ou la filiale ?Qui était responsable ? Le PDG, le directeur des systèmes d’information (DSI), le directeur technique (CTO), le responsable de la sécurité (RSSI) ? Comment gérer le décalage horaire, des approches culturelles différentes, des cadres légaux et réglementaires disparates ? Pourtant, anticiper ou parer une cyberattaque est une course contre la montre. Chaque heure perdue à gérer des luttes de pouvoir ou d’autres imprévus risque d’accroître l’impact de l’attaque et les pertes financières.

Face au développement des cyberattaques, il est essentiel de revenir aux bases pour éviter que l’entreprise ne s’écroule comme un château de cartes à la première attaque venue : le système d’information restera la pierre angulaire de la posture de sécurité de toute entreprise pour les dix années à venir.

Afin de se préparer au mieux, les entreprises doivent mettre en place une démarche structurée incluant un audit externe du système d’information (technique et fonctionnel), la définition d’un schéma directeur (basé sur une hiérarchie de la menace en fonction d’un critère coût/bénéfice), l’instauration immédiate d’un vrai plan de continuité d’activité (PCA), la définition de la gouvernance et de la chaine de commandement en cas d’attaque, la mise en place d’un centre opérationnel de sécurité (CyberSOC) ou encore la création d’une computer emergency response team (CERT ou SCIRT). Sans ces éléments et cette anticipation, la résilience de l’entreprise ne sera qu’un vœu pieux.