«Changer de paradigme: de la cyber-sécurité à la cyber-résilience»
Les écrans ont envahi notre quotidien, la digitalisation pénètre crescendo nos processus de travail, la connectivité se propage jusque dans l’ensemble de nos objets et cette 3e Révolution Industrielle que nous appréhendons à peine, se voit déjà éclipsée par l’avènement de l’omniprésente intelligence artificielle de la 4e Révolution Industrielle. L’histoire nous dira si c’est pour Le Meilleur des mondes[1] ou pour un monde meilleur mais une chose est certaine: plus le digital s’étend et plus la question de sa sécurité devient primordiale. Interview de Philippe Dann et Yves Reding, respectivement Head of Risk and Business Advisory Services et CEO d’EBRC.
Dans la tempête
Si le digital est un océan de possibilités qui simplifient la navigation des organisations étatiques, publiques et privées, il est aussi un monde de dangers lorsque les éléments se déchainent. Face aux cyber-attaques qui, depuis les abimes du Net font surface tels des monstres polymorphes, la cyber-sécurité mise sur l’invulnérabilité de ses systèmes de protection. Le problème est qu’à l’image du phénomène psychologique, le sujet ou le système reste toujours dépendant de ses fragilités. «Les événements de 2017 ont démontré les insuffisances du schéma binaire attaques-protections», explique Yves Reding, et d’ajouter «les entreprises ont désormais besoin d’un changement de paradigme, basé sur la résilience: la question n’est plus de savoir si les protections mises en place permettront d’éviter les cyber-attaques, mais de savoir quand celles-ci auront lieu, comment les mitiger, les gérer, y répondre, et comment rebondir et accélérer. EBRC a, de ce fait, renforcé son cadre de cyber-résilience qui constitue une approche plus globale, holistique qui prend en compte des solutions intégrant cyber-sécurité, Business Continuity Management, gestion de crise, stratégie de réponse et organisation de la résilience». La cyber-résilience est couverte par plusieurs référentiels internationaux, dont l’ISO 27001 (sécurité de l’information) et l’ISO 22301 (continuité d’activité). Une entreprise doit pouvoir s’organiser en amont des menaces, identifier les cyber-attaques ou incidents non intentionnels, les contrer sans délais ou du moins limiter leurs dégâts, et puis, en aval, répondre, récupérer et rebondir.
La cyber-résilience se définit par la capacité d’une entité à produire de manière continue les résultats attendus malgré des cyber-événements négatifs (accidents, erreurs, malveillances, etc.). La cyber-résilience peut être considérée à plusieurs niveaux: à l’échelle d’une confédération de pays; comme l’Union européenne, d’un pays; d’une entreprise; d’une activité; ou même d’un système IT. Au-delà de l’aspect statique de résistance, elle est fondamentalement dynamique et assure ainsi l’agilité et la continuité nécessaires d’une organisation pour mener à bien ses activités. Se préparer, identifier, protéger, détecter et récupérer en sont les cinq piliers.
Méthodologies
2017 a été l’année des ransomwares. Certaines entreprises internationales ont été touchées de plein fouet. Même si le mot d’ordre est de ne pas payer, il est de notoriété publique que certaines organisations s’y résignent, et notamment les hôpitaux qui ne veulent prendre aucun risque pour leurs patients. La panique, le non «savoir-faire» et le non «comment-faire» obligent certains dirigeants à se soumettre au chantage. «Le statut de victime n’est pourtant pas inéluctable dès lors qu’ils sont entourés d’un écosystème performant», assure Philippe Dann. Cet écosystème de cyber-résilience doit être intégré afin d’assurer une réactivité immédiate. Chez EBRC, il est assuré par une équipe de conseillers et d’experts mais également par la combinaison entre son SOC (Security Operations Centre) et son CERT (Computer Emergency Response Team), connectés par ailleurs à d’autres CERTs, publics ou privés. Avoir recours à des compétences pointues adéquates est primordial et c’est pourquoi EBRC vient de signer un partenariat avec l’un des leaders mondiaux en investigation sécurité, qu’est OpenText – Guidance Software. EBRC dispose déjà d’une cinquantaine de profils actifs dans la cyber-résilience, et propose non seulement ses services à ses 450 clients mais également sur l’ensemble du territoire français, grâce à son alliance avec Digora, présent dans les grandes villes.
Les procédures mises en place par EBRC pour ses clients managés sont autant d’automatismes qui permettent de prévenir et de détecter en temps réel les failles ou les attaques informatiques et appliquer immédiatement les bonnes stratégies de réponses. Face aux nouvelles cyber-menaces, il est vital de pouvoir se référer aux bons consultants et experts du CERT et du SOC, intégrés dans l’organisation, afin de prendre immédiatement les bonnes décisions. Le conseil est ici central car il va jusqu’à faire appliquer les meilleures pratiques du marché, organiser des plans de communication internes (à destination des collaborateurs) mais aussi externes (clients, fournisseurs, autorités). La cyber-résilience s’étend sur toute la chaine, de la prévention jusqu’aux analyses sécurité forensic. Après une cyber-attaque, il est essentiel de disposer des outils et des compétences adéquats, afin de remonter aux origines des attaques et de recueillir les preuves qui constitueront les dossiers présentés à la justice. La cyber-résilience est au cœur de la directive européenne NIS (Security of Network and Information Systems), qui devra être transposée dans les législations nationales pour mai 2018. En tant qu’opérateur de services digitaux, EBRC a anticipé cette nouvelle directive qui concernera les opérateurs de services essentiels comme les hôpitaux, les aéroports, les fournisseurs d’électricité, les infrastructures bancaires et de marché, mais également les infrastructures digitales tels que les centres de données et les opérateurs de services cloud.
Là où la cyber-sécurité ne peut qu’ériger des murs censés résister à des attaques toujours plus sophistiquées et complexes, EBRC offre une détection préventive de pointe et des réponses immédiates et intelligentes totalement intégrées dans ses services de Data Centre, de continuité d’activité, Cloud et d’outsourcing IT. L’une des tâches quotidiennes des équipes opérationnelles du CERT d’EBRC est la veille technologique et l’analyse permanente des nouvelles vulnérabilités du marché. Elle permet de prévenir et de détecter les cyber-menaces. Les services cyber-résilience EBRC, certifiés de bout-en-bout et couvrant toute la chaine de services (CERT, SOC, centre de secours, services managés PCI-DSS, consultants et équipes d’experts), sont conçus afin de permettre aux entreprises et organisations les plus critiques de poursuivre leurs objectifs dans un environnement digitalisé, en s’immunisant au maximum contre les cyber-menaces.
Enjeux
Historiquement, les réponses aux cyber-attaques étaient élaborées en fonction de scénarii préétablis. Mais les récents événements montrent qu’elles pénètrent toujours plus discrètement les systèmes. Les piratages informatiques d’organisations sensibles qui se retrouvent régulièrement à la une des journaux relèvent moins du vol d’informations sensibles qu’à l’exploit de dégradation de l’image de marque. Les menaces dormantes sont les plus difficiles à identifier et sont les plus dangereuses: plus elles sont discrètes et silencieuses, plus elles peuvent faire de dégâts. «Cela revient à chercher une aiguille dans une botte de foin», sourit Yves Reding.
La technologie permet aujourd’hui de repérer les comportements suspects et les actions inhabituelles (téléchargement de fichiers sensibles, connexion trop longue à un poste, clef usb étrangère au système, etc.). Mais les enjeux ne sont pas uniquement économiques et menacent désormais les démocraties, les libertés individuelles et même notre propre capacité à nous affranchir de ce qui nous détermine. Les réseaux sociaux constituent la première source d’information pour plus de 40% des jeunes électeurs en France et 60% aux Etats-Unis[2]. Or il est de notoriété publique que les campagnes de dénigrement, ou «bashing» ont pesé dans les élections présidentielles américaines et françaises, tout comme dans le Brexit.
Les autorités européennes sont conscientes des risques et tentent d’y apporter des solutions. L’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) a organisé une simulation d’attaques de grande ampleur en 2016. Cet exercice CyberEurope, étalé sur plusieurs mois et auquel EBRC a participé, a été clôturé par un exercice de cyber-résilience de deux journées. Cet exercice simulait des attaques sur des sociétés du secteur technologique cotées sur des bourses européennes, sur des services digitaux primordiaux dont des prestataires Cloud, pour se terminer par celles de simulations d’attaques physiques de drones sur des centres de données. «Trois semaines seulement après l’exercice, un opérateur de services essentiels européen majeur subissait une attaque massive réelle, selon un des scénarii relativement proche de l’exercice… L’exercice CyberEurope était particulièrement révélateur des nouvelles menaces à venir et nous a incité, depuis lors, à renforcer notre approche intégrée de cyber-résilience et à développer de nouvelles alliances sur un plan international. Face à une menace globale, il faut une approche globale», conclut Yves Reding.
[1] Le Meilleur des mondes ou «Brave New World», est un roman d’anticipation dystopique écrit en 1931 par Adlous Huxley.
[2]Chiffres France Inter, consultables sur https://www.franceinter.fr/politique/les-reseaux-en-campagne-vaste-audience-et-petites-manipulations