Un référentiel: une boîte à outils
Plus de 60.000 incidents ayant conduit à une perte de données ont été constatés en 2013, selon le «Data Breach Report 2014», présenté par Deloitte et EBRC le 5 juin dans les locaux d’Editus. Les conférenciers ont insisté sur la nécessité pour les entreprises de se doter d’un référentiel comprenant plusieurs étapes que sont l’identification, la détection, la remédiation et le recovery. Les explications en marge de la conférence avec Stéphane Hurtaud, Associé chez Deloitte, et Régis Jeandin, Head of Security Services chez EBRC.
EBRC et Deloitte ont conjointement organisé une conférence de presse le 5 juin. Comment est née l’initiative?
SH: L’idée de départ réside dans notre vision partagée de la cyber-sécurité, à savoir le degré de maturité affiché par les organisations au stade actuel des choses, et plus encore leurs priorités. Si la prévention est un élément important, elle est hélas insuffisante. Les éléments clés sont désormais la détection et la réponse aux cyber-attaques. En cela, Deloitte, en tant que société de conseil aux entreprises, et EBRC, prestataire IT, s’inscrivent en complémentarité.
Que retenir globalement de la conférence?
RJ: Ce qu’il faut principalement retenir de la conférence, c’est l’importance qu’il convient d’accorder aux risques actuels tels qu’ils ont été présentés dans le rapport « Data Breach Investigation Report 2014 » tout comme le fait que l’on ne vient pas à bout des cyber-attaques sans passer par un référentiel comprenant plusieurs étapes, à savoir l’identification, la détection, la remédiation et, enfin, le recovery ; chacune des étapes étant incontournable.
Je pense que tout est dit dans l’intitulé de la conférence : «Think early, Act effectively and React promptly». Il s’agit d’identifier les menaces potentielles auxquelles on doit faire face en tant qu’entreprise active dans un secteur bien déterminé, de définir quelle stratégie mettre en place, déployer cette stratégie et gagner en maturité en termes de capacités de détection des incidents et de réaction face à ces incidents.
Le «Data Breach Report 2014» présenté est exhaustif. Comment l’étude a-t-elle été réalisée, sur quels éléments s’appuie-t-elle?
SH: Ce rapport n’a rien de nouveau, il fête ses dix ans cette année. Il est à l’origine réalisé par la société Verizon Enterprise Solutions (ndlr : société spécialisée dans la conception et l’exploitation des réseaux, des systèmes d’information et des technologies mobiles), qui s’appuie sur une cinquantaine de contributeurs de différents types tels que les CERT ou des organisations privées telles que la nôtre. Ceux-ci s’appuient sur une méthodologie commune permettant de qualifier tous les incidents qu’ils ont eu à traiter durant l’année en cours, en l’occurrence en 2013. Plus de 60.000 incidents ayant conduit à une perte de données ont ainsi été constatés en 2013. Ce rapport est un outil qui permet aux entreprises de mieux comprendre les risques auxquelles elles peuvent être exposées. J’aimerais souligner le fait qu’il ressort de l’étude que les profits engendrés par le piratage informatique dépassent aujourd’hui ceux issus du trafic de drogue.
Le rapport souligne une augmentation des menaces provenant de l’intérieur de l’entreprise. Comment expliquez-vous ce phénomène?
RJ: Ce phénomène est à prendre avec des pincettes. La grande majorité des attaques reste des attaques provenant de l’extérieur, mais ce que nous souhaitions souligner, c’est qu’il ne fallait pas pour autant négliger les menaces internes.
Au niveau des motifs, les cyber-attaques financières reculent tandis que le cyber-espionnage augmente…
SH: La principale motivation demeure indéniablement la motivation financière. Pour autant, on constate une réelle tendance haussière en matière de cyber-espionnage dans les entreprises. Celui-ci peut tant émaner des Etats que des organisations criminelles, l’objectif étant de récupérer des secrets industriels, des informations stratégiques voire même des secrets d’Etat. En témoignent encore les récentes cyber-attaques perpétrées contre le ministère des Affaires étrangères belge il y a deux mois.
RJ: L’espionnage a toujours existé, c’est la nature de l’information et les canaux d’espionnage qui ont changé. Avec Internet, les moyens ont été démultipliés. S’ajoute à la problématique Internet stricto sensu de nouvelles problématiques annexes telles que le ‘Bring your own device’, le VOIP, les téléviseurs connectés, etc.
Les attaques étant de plusieurs ordres, les réponses se doivent de l’être également, n’est-ce pas?
RJ: Chaque industrie revêt un intérêt particulier pour les pirates informatiques. Tant les établissements bancaires que le secteur de l’hébergement, par exemple, sont avant tout victimes de piratage à finalité financière, notamment via les fraudes à la carte de crédit. Des organisations internationales ou des sociétés de renommée mondiale, quant à elles, sont régulièrement les cibles tant des ‘hackers’, qui cherchent davantage à tester à la fois les capacités des outils et leurs connaissances plutôt qu’à voler des données, que des «hacktivistes », dont la motivation est principalement idéologique. Les réponses doivent donc être adaptées en fonction du cœur de métier, des missions, de la relation avec un Etat ou éventuellement avec une maison-mère, etc.
Quelles stratégies les entreprises et organisations doivent-elles mettre en place pour combattre ce fléau? Comment se déclinent-elles selon les industries?
SH: Le rapport énonce un certain nombre d’éléments très intéressants pour les organisations. Tout d’abord, une organisation se doit de «connaître» son ennemi et les risques auxquels elle est confrontée. Se posent ensuite essentiellement trois questions, à savoir «Comment positionner ses risques ?», «Jusqu’où suis-je prêt à prendre des risques ?» et «Quel budget suis-je prêt à allouer pour ma sécurité informatique ?». En effet, en cherchant à aller trop loin dans la course contre le piratage, une organisation prend le risque de ralentir son rythme de production et d’y consacrer un budget très conséquent.
Ce qu’il faut retenir avant toute chose, c’est qu’il est essentiel d’accorder une grande importance à la question de la détection des menaces, qui permet de limiter l’impact de l’incident.
En quoi le référentiel ‘NIST Cybersecurity Framework’ présenté par EBRC lors de cette conférence est-il évolutif, global et s’adapte-t-il aux besoins et budgets des sociétés ?
RJ: En premier lieu, soulignons qu’un référentiel peut être considéré comme une boîte à outils qui fournit toute une série d’éléments aux responsables des entreprises pour les aider à définir et opérer les contrôles dans le domaine de la sécurité.
Le référentiel NIST est un référentiel récent, simple et relativement synthétique, contrairement aux référentiels ISO et COBIT, pour ne citer qu’eux. Il peut en outre être aisément utilisé en parallèle avec un autre référentiel existant. J’aimerais ajouter qu’il faut garder à l’esprit qu’un référentiel n’est pas une finalité mais avant tout un moyen. PhR