Test et évaluation de la cybersécurité: une question d’hygiène informatique
Ces dernières années, la nécessité de réaliser des tests de sécurité s’est considérablement accrue en raison du nombre et de la complexité croissants des cyberattaques. La plupart d’entre elles exploitent les faiblesses des organisations et parfois même des êtres humains. Pour y faire face, le recours à un programme d’évaluation de la sécurité adapté à l’échelle de l’entreprise s’avère essentiel. Yasser Aboukir, Senior Manager – Cyber Risk Services chez Deloitte Luxembourg, présente ce programme crucial pour lutter contre les cyberattaques grâce à la conception d’un cadre de test et d’évaluation de la cybersécurité personnalisé.
Au regard de la conjoncture mondiale et de l’actualité, quels sont les enjeux de la cybersécurité pour les institutions et les organisations?
En raison de la situation géopolitique actuelle, les cyberattaques constatées restent variées et se divisent en deux catégories principales: les attaques par déni de service distribué (DDoS), qui ont pour but de mettre hors service des sites internet ciblés, et les attaques virales par «Wipers» qui sont bien plus destructrices. En effet, ces dernières ont pour objectif d’effacer des postes de travail ou des serveurs en particulier, notamment au niveau d’infrastructures critiques.
Après deux années de pandémie, nous constatons également que les entreprises sont exposées à des défis liés aux cyber-risques de plus en plus complexes. Les solutions de travail à distance ou l’utilisation du cloud augmentent considérablement les angles d’attaque des cybercriminels. De nombreuses entreprises n’étaient pas forcément préparées pour le virage soudain du télétravail et ont dû improviser des déploiements de solutions de travail à distance sans vraie stratégie préalable quant à leur sécurisation.
Les entreprises sont ainsi forcées de maintenir un niveau de vigilance élevé à propos de la cybersécurité et à prendre en compte les fondamentaux d’hygiène en la matière. Le niveau de cybermenace actuel ne doit pas uniquement agir comme une piqûre de rappel, mais bien susciter une réflexion sur l’adoption de stratégies durables au niveau de la cyber-résilience.
Deloitte propose depuis peu un programme complet d’évaluation de la sécurité. Pouvez-vous nous en dire plus? Que doivent considérer les entreprises lors de son élaboration?
Ces dernières années, la nécessité de mener des activités d’évaluation et de test de sécurité a considérablement augmenté. Ceci est dû à la croissance du nombre mais aussi de la complexité des cyberattaques, des exigences de conformité, du recours à l’externalisation ainsi que des changements apportés par la digitalisation des environnements informatiques et des processus métiers. Pour répondre à ces exigences, il est essentiel pour les entreprises d’établir un programme complet d’évaluation de la sécurité plutôt que d’opter pour une approche unitaire, inefficiente et dispersée à travers l’organisation.
À travers notre offre, nous établissons dans un premier temps un diagnostic pour définir la stratégie d’évaluation de sécurité. Celle-ci doit apporter un haut niveau de confiance aux équipes dirigeantes ainsi qu’aux équipes opérationnelles vis-à-vis des contrôles de sécurité en place, mais également assurer la compatibilité avec les besoins réglementaires et de conformité.
Nous assistons ensuite les entreprises dans la conception et la mise en œuvre de ce programme sur une base annuelle ou pluriannuelle en y incluant la définition de la politique globale des tests, leur conception, leur planification et leur fréquence d’exécution.
La cybersécurité n’est plus perçue comme une contrainte coûteuse mais comme un avantage compétitif
La dernière phase est celle de l’exécution durant laquelle nous accompagnons les entreprises à travers différents types de tests: évaluation de la sécurité des architectures et du design, revue du code source des applications et des configurations des systèmes, réalisation de tests d’intrusion ou simulation de scénarios de menaces réalistes tels que les exercices de «Red Teaming».
Les entreprises devraient privilégier les tests qui leur permettront d’élaborer des améliorations sur le fonctionnement effectif de leurs mécanismes de défense ou d’identifier des vulnérabilités inconnues plutôt que de multiplier les tests uniquement pour des raisons de conformité. Finalement, un programme d’évaluation de la cybersécurité doit être interconnecté à d’autres processus clés tels que le renseignement sur les menaces (Cyber Threat Intelligence) et l’évaluation des risques de la sécurité de l’information.
Les organisations sont-elles forcément sensibles aux enjeux de la cybersécurité?
Les risques liés à la cybersécurité se placent dans le top trois des risques les plus redoutés par les entreprises, tant pour les PME que pour les plus grandes structures. Les mentalités commencent également à changer puisque la cybersécurité n’est plus perçue comme une contrainte coûteuse mais comme un avantage compétitif.
Les célèbres attaques WannaCry (Ransomware) et NotPetya (Wiper) en 2017 ont néanmoins démontré qu’un nombre important d’entreprises n’était pas préparé à de telles attaques à si grande échelle. La sensibilisation aux enjeux de la cybersécurité doit commencer au niveau des conseils d’administration et des directions afin de s’assurer que les responsables de la sécurité, les opérations (IT et métiers) et tous les employés sont préparés et en mesure de se mobiliser en cas d’éventuelle cyberattaque.
Les innovations évoluent-elles à la même vitesse que les moyens d’attaque des hackers? Si oui, comment s’y adapter?
Il s’agit, selon moi, d’une course très serrée entre les technologies et les cybercriminels. Ces derniers sont intéressés par l’exploitation de technologies bénignes à des fins malveillantes: les ransomwares recourent par exemple aux mêmes procédés cryptographiques que ceux que nous utilisons pour chiffrer et protéger nos données, les «DeepFakes» générés par l’intelligence artificielle aident les cybercriminels à arnaquer leurs cibles, les crypto-monnaies sont utilisées pour récupérer anonymement les rançons, etc.
Chaque innovation sera méticuleusement examinée par les cybercriminels pour dénicher ses failles. Les cyberattaques ne cessent de prouver leur sophistication et leur industrialisation continues même si les innovations dans les solutions de défenses sont accrues.
Il est ainsi primordial pour les entreprises de comprendre le paysage des cybermenaces lié à leur géographie et secteur d’activité, de comprendre les techniques des attaquants, leurs motivations, leur provenance (externe, interne, partie tierce) et leurs capacités. Dans le domaine de la cybersécurité, la citation de Sun Tzu: «Si tu ne connais ni ton adversaire ni toi-même, à chaque bataille tu seras vaincu», prend tout son sens.