Sécurité IT : avoir un coup d’avance

Des attaques informatiques plus probables, des assaillants plus organisés, un mode opératoire plus discret: voilà à quoi les entreprises sont confrontées aujourd’hui en matière de cybersécurité. Trop souvent inconscientes des menaces qui les entourent, EBRC leur propose une autre méthode de protection. Pour prendre une terminologie militaire, rien ne sert de monter uniquement les murs de l’enceinte de protection, il faut aujourd’hui penser les risques et les failles ouvertes à l’ennemi. Interview de Régis Jeandin, Head of Security Services, et Philippe Dann, Head of Risk & Business Advisory chez EBRC.
Quel est le grand danger qui plane sur la sécurité informatique des entreprises?
RJ: Nos habitudes. Nous sommes tellement engoncés dans nos habitudes que nous ne remettons que trop peu nos usages en cause. Or, se questionner en permanence est l’un des piliers de la sécurité moderne. La menace est bien réelle et malheureusement trop nombreux sont ceux qui se croient encore protégés par un outil ou une série de mesures prisent il y a quelques mois… devenus insuffisants face à la créativité des assaillants. Les entreprises gèrent leur système informatique par rapport à des réglementations de bon sens, cependant leurs actions sont souvent insuffisantes car les méthodes d’attaque se sont fortement transformées ces derniers mois.

Comment ont évolué les cybermenaces?
RJ: Tout d’abord, les menaces sont plus nombreuses et dangereuses qu’auparavant car l’enjeu est devenu plus important du fait de la numérisation des informations et du business. Les données numériques insuffisamment protégées deviennent des proies faciles face à des prédateurs redoutables et inventifs qui déploient des stratégies de cyberattaques dont l’impact ne cesse d’augmenter. Notre environnement technologique omniprésent nous expose à une multitude de vecteurs d’attaque.
Ensuite, c’est le paradigme-même du cyber-assaillant qui a changé. Il y a quelques années, les hackers étaient isolés. Aujourd’hui, il s’agit de faire face à des organisations structurées disposant d’importantes banques d’échange d’outils d’attaque. Le « Dark Web » offre un arsenal pléthorique permettant d’adapter la mission en fonction de la cible visée. Non seulement ce troc est devenu courant mais il est garanti vu que des groupuscules ont mis au point des sites de confiance tiers pour le structurer. Ce milieu est donc bien plus organisé qu’on ne l’imagine. L’économie qui en découle est lucrative. Les motivations des cyber-assaillants se sont trouvées ainsi renforcées, ce qui les rend encore plus difficiles à contrer.
Les attaques ont évolué elles-aussi. Précédemment, l’infraction était constatée tout de suite, paralysant les systèmes, les hackers visaient la notoriété. Aujourd’hui, l’agression la plus efficace est celle qui n’est pas perçue. Elle s’introduit discrètement dans le réseau et effectue une veille, prélevant des informations monétisables au goutte-à-goutte, ou utilise un agent «dormant»: c’est une attaque brutale qui sera lancée au moment clé, pour rançonner l’entreprise ou la paralyser économiquement.
Nous avons donc un paysage d’attaque beaucoup plus large lié à la variété du matériel IT démultipliant ainsi la palette des motivations et des technologies pour les assaillants, des attaques plus pernicieuses… rendant la prévention plus complexe.
 
Quel type de société est vulnérable?
RJ: La puissante NSA, dont les équipes de cybersécurité sont parmi les plus réputées au monde, a récemment constaté le vol de ses outils. Si cela arrive même à l’Agence nationale de sécurité des Etats-Unis, on peut confirmer que n’importe qui pourrait en être victime! Toute forme d’entreprises peut être confrontée à une cyberattaque. Si pour une banque ou une industrie, la nuisance potentielle est évidente, les petites sociétés locales ne doivent pas se voiler la face. Données confidentielles, brevets, réputation de la compagnie, confiance des investisseurs, résilience: les répercussions d’une agression touchent bien plus que l’IT et peuvent altérer la santé voire la viabilité d’une compagnie.

Comment faire face à cette menace grandissante ?
PD: Face à tous ces éléments, EBRC propose une gamme de services adaptés. Notre team Advisory accompagne ses clients pour proposer des solutions face aux challenges de cybercriminalité. Notre team sécurité a sélectionné une série d’outils puissants et uniques, développés par des entreprises leaders qui permettent d’analyser le fonctionnement des systèmes informatiques et d’identifier les potentielles vulnérabilités ou attaques en cours. Enfin, nous effectuons une surveillance continue de l’environnement client systèmes (analyse de log) qui permet à nos clients de comprendre ce qu’il se passe dans leur environnement IT afin de détecter le plus tôt possible les intrusions. Mais ce n’est pas tout, EBRC dispose de cellules dédiées à la veille cyber et la gestion de crise (le CERT  – Critical Emergency Response Team, et le SOC – Security Operations Centre) qui permet à chaque client de disposer des meilleurs experts pour le conseiller et l’accompagner en cas d’attaque. En tant qu’entreprise du groupe POST, EBRC dispose d’un avantage technologique lié à l’apport de POST dans sa maîtrise du réseau et ses moyens à le sécuriser et à le défendre. Cette maîtrise de l’ensemble de la chaîne, est une garantie supplémentaire permettant d’intégrer les risques, le monitoring et les interventions à chaque niveau pour une protection centrée sur la donnée.
Notre approche n’est pas celle du «rempart» technologique. Notre méthode se base sur une classification pragmatique des « assets » de nos clients en adaptant le degré de protection en fonction de leur niveau de criticité.
Au-delà, nous dressons une cartographie classifiant ces risques et nous définissons les mesures à prendre, en fonction de leur urgence et importance. L’ensemble du projet de sécurité du client est rattaché à ce tableau de bord des risques et est ainsi lié de façon pertinente aux « assets » les plus critiques de la société. Cette méthode rationnelle séduit les entreprises par l’optimisation des moyens engagés en fonction de l’importance de la donnée à protéger. Car la sécurité a un coût, chacun de nos projets intègre cette approche économique, c’est cette performance que nos clients recherchent et apprécient. Cette approche permet d’identifier les priorités claires et de les justifier en fonction du business de l’entreprise. Par contre, cette cartographie des risques établie à un instant «t», doit faire l’objet de réévaluation permanente, cela ne doit pas rester un exercice statique. Les attaques évoluent, une menace jugée faible peut devenir demain d’importance majeure. Cette réflexion doit donc être soutenue par un suivi continu et dynamique.
Comment aborder le facteur humain en sécurité?
PD: La conscientisation de tous devient prioritaire. En effet, le facteur humain est de plus en plus un élément clé pour ouvrir une brèche de sécurité. L’assaillant utilise des techniques de social engineering ainsi que l’innocence des emails pour récupérer de petites informations inoffensives indépendamment qui, une fois compilées intelligemment, lui permettent de monter son attaque. Il faut que les sociétés travaillent à la maturité de leurs employés à ce niveau, et c’est loin d’être facile.
Dans une optique collégiale, les échanges d’informations aspirent à se généraliser. En matière de sécurité, la tendance habituelle est malheureusement de se refermer sur soi-même. Or, l’aspect communautaire prend le pas: s’entraider – à la manière des services de secours – deviendra la norme en cybersécurité. L’économie devient tellement dépendante de l’IT que, face aux menaces, le milieu réalise qu’il est plus efficace de travailler ensemble. En partageant, nous rendrons le chemin plus compliqué aux assaillants et nous devenons plus forts.