Cybercriminalité : vers une protection sur mesure
Publié par Mathieu Neu le - mis à jour à
L'essor des équipements technologiques dans les entreprises contribue à diversifier les points d'entrée possibles pour les cybercriminels. Pour se protéger des menaces, une approche personnalisée, adaptée à son contexte, représente le meilleur compromis entre sécurité et souplesse.
"Il y a 5 ans, les ransomwares - ou logiciels malveillants d'extorsion - existaient à une fréquence d'une unité par semaine. Aujourd'hui, on en dénombre 5 000 par jour", note avec stupeur Christophe Auberger, directeur technique France de Fortinet, spécialiste des services de cybersécurité. "La raison est simple : il n'est plus nécessaire d'être spécialiste pour mener des attaques, même si on assiste à une professionnalisation de la cybercriminalité." La menace globale dans ce domaine semble effectivement grandissante. L'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) classe désormais le cyber-risque parmi le top 3 des risques majeurs existants pour les organisations.
À l'heure où les entreprises intègrent un nombre croissant d'outils technologiques et d'équipements connectés, avec comme but de rendre les usages simples et le moins contraignants possible, la protection devient un véritable casse-tête, et oblige les responsables à changer de paradigme. "L'informatique est censée faciliter la vie. Il faut donc oeuvrer dans ce sens. Toutefois, avant d'empiler les nouveaux services et couches technologiques, il est recommandé de bien rationaliser et sécuriser l'existant", estime Cédric Thellier, directeur technique d'Akerva, un cabinet de conseil spécialisé en sécurité informatique.
Une prise de conscience des enjeux
De nombreuses plateformes existent aujourd'hui pour fournir à moindre frais des solutions d'attaque. "C'est un business plus rentable et moins risqué que le trafic de drogue, par exemple. Certaines attaques ne sont pas qualifiées par la Justice plus gravement qu'un simple abus de confiance. En conséquence, les peines encourues restent légères, ce qui rend le rapport bénéfices / risques intéressant", explique Christophe Auberger.
Heureusement, la sensibilisation à ces problèmes est désormais meilleure. Les mentalités semblent évoluer. "Les RSSI obtiennent davantage l'écoute des directions générales, et ce n'est pas uniquement le cas dans les entreprises du CAC40", observe-t-il. Les réseaux sociaux, les smartphones agissent comme des leviers de sensibilisation dans le cadre de la vie privée, ce qui contribue aussi à la sensibilisation dans le monde professionnel.
Olivier Morel, directeur général adjoint chez Ilex International, éditeur spécialisé dans la gestion des identités et des accès, constate lui aussi que "les RSSI sont de plus en plus écoutés dans les entreprises. Bon nombre d'entre elles n'avaient d'ailleurs pas de responsables de ce type récemment. Sur les salons spécialisés également, on remarque que les publics sont de plus en plus variés." Cette évolution du RSSI est dans l'intérêt direct de l'entreprise. "Lorsqu'il est rattaché à la DSI, il se retrouve juge et partie. C'est pourquoi son positionnement change. Il dirige parfois des comités sur les systèmes d'information, où la DSI n'occupe qu'un rôle annexe", précise Nicolas Brossard, Customer Cybersecurity Manager chez le spécialiste de la sécurité informatique Hub One.
Une problématique pour toutes les entreprises
Certaines sociétés ne comprennent pas pourquoi elles sont ciblées, car leurs données ne sont pas particulièrement sensibles. Nombre d'entre elles servent en réalité de relais pour atteindre d'autres entreprises. "N'oublions pas que les analyses ne se font généralement que sur ce qui a été vu et détecté. Elles concernent des machines ou logiciels sous surveillance, ce qui représente parfois uniquement la partie visible de l'iceberg", souligne Cédric Thellier.
La menace n'est pas nécessairement proportionnelle à la taille de l'entreprise. Loin s'en faut. "Un cyber-attaquant agit souvent loin de la France, cible toutes les entreprises d'une région, d'un département ou d'un territoire donné, sans se soucier d'autres critères", note Nicolas Brossard. Et le passage est souvent éclair. Trois minutes suffisent à un pirate pour s'emparer d'un objet connecté. Avec Wannacry en 2017, le coût du déchiffrement était de 300 euros par poste de travail. En multipliant par un grand nombre de postes, il peut vite s'agir d'un budget non négligeable.
"Une attaque par déni de service (attaque DDoS), c'est-à-dire une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser, passe par l'opérateur que les sociétés utilisent. Ce type d'attaque est lié à une activité économique, non pas à une taille d'entreprise. De petites entreprises de e-commerce sont concernées de la même manière que des grandes structures", indique Éric Michonnet, directeur régional Europe du Sud, Europe centrale et Afrique du Nord de Netscout Arbor, un fournisseur de solutions technologiques pour contrer les risques liés aux attaques DDoS.
Faire émerger de nouvelles bonnes pratiques
Le déploiement de produits et services technologiques toujours plus variés et connectés a pour effet d'augmenter la surface d'attaque potentielle pour les auteurs de malveillance. Celle-ci doit être analysée. Son étendue doit être évaluée. Il est nécessaire et souhaitable de surveiller les conversations qui peuvent y avoir entre un programme malveillant et un acteur cybercriminel extérieur, et d'entreprendre des actions en conséquence. "Il y a toujours des attaques en cours, même si on ne le remarque pas. Il peut s'agir de simples tentatives pour tester les défenses d'une entreprise, en vue d'attaques futures", confie Éric Michonnet. Un constat partagé par Cédric Thellier : "nous proposons des services d'assistance technique en sécurité, des tests d'intrusion. Nous nous rendons parfois compte en menant ces tests que nous ne sommes pas les premiers à avoir pénétré le système d'information..."
Pour Christophe Auberger, la sécurité ne doit pas être synonyme de contrainte pour l'utilisateur : "la multiplicité des logins et mots de passe a comme conséquence de voir ces derniers inscrits sur des post-its, collés sur les écrans ou ailleurs. On est loin de pratiques sécurisées." Les nouvelles solutions d'authentification sont alors préférables, telles que la biométrie, la reconnaissance faciale ou encore les empreintes digitales. Elles se généralisent lentement mais sûrement dans le monde professionnel, même si les identifiants classiques sont encore très répandus.
"Les entreprises où la mobilité est importante se tournent plus rapidement vers ces solutions. Le niveau de maturité technologique a bien sûr une grande influence", poursuit-il. "Encore récemment considérés comme une option, ces systèmes sont davantage vus comme un besoin. Ils renferment des algorithmes complexes, plus fiables qu'une solution avec mot de passe, et sont une réelle valeur ajoutée en termes de confort pour l'utilisateur." Olivier Morel estime par ailleurs que "la méthode d'authentification Single Sign-On (SSO), par laquelle un utilisateur accède à plusieurs applications informatiques en ne s'authentifiant qu'une seule fois représente une solution de conciliation intéressante entre ergonomie et sécurité."
Des opérations de sécurité ciblées
En matière de sécurité, une approche minimaliste est préférable, afin de déployer uniquement les opérations qui concernent le périmètre à traiter. Netscout Arbor a ainsi lancé un produit permettant de détecter rapidement les problèmes de sécurité, en ciblant les échantillons à analyser prioritairement. "Pour un e-commerçant, il vaut mieux couper une transaction plutôt qu'un ensemble de transactions où toutes ne posent pas forcément de problèmes. Ce type d'approche est encore peu répandu, mais est très pertinent", illustre Éric Michonnet.
Le domaine dans lequel l'entreprise exerce son activité est un critère primordial quant aux solutions à privilégier. Lorsqu'on parle de réseaux utilisés pour des transactions commerciales, les précautions à envisager ne sont pas tout à fait les mêmes que s'il est question de réseaux stratégiques par lesquels transitent des données médicales ou militaires.
"Il est clair que les objets connectés et outils technologiques en tout genre compliquent singulièrement les choses", reconnaît Éric Michonnet. "Des systèmes différents impliquent des failles différentes. Pour autant, il ne faut pas surprotéger son système. Il importe, pour conserver de la souplesse, de bien connaître sa configuration pour apporter une réponse sur mesure." Il ajoute que "le déploiement futur de la 5G peut être une véritable aubaine, car le fait de ne tenir compte que d'un seul protocole, à l'inverse des réseaux variés actuels, simplifie grandement les procédures."
Zoom
L'humain, au coeur des solutions les plus efficientes
La méthode gagnante en termes de sécurisation est profondément liée à l'utilisateur, à son comportement et à l'ensemble de l'équipe concernée. Dans un contexte de transformation digitale, il est recommandé d'aller plus loin que les solutions technologiques pour se protéger. "Le côté organisationnel est important, qu'il s'agisse de comités dédiés pour orienter les prises de décisions, ou les procédures à mettre en place. À cela s'ajoute le côté humain. Si le volet comportemental et les habitudes de travail expliquent un certain nombre d'erreurs et de failles, il représente aussi un facteur essentiel de la réussite, car ce sont les collaborateurs qui, avec les bonnes pratiques, constituent le meilleur des systèmes de sécurité", estime Olivier Morel. Les cybercriminels eux-mêmes scrutent les habitudes de travail des employés, au travers des clics sur des liens contaminés, et leur capacité à se faire piéger. Pour Christophe Auberger, "on confie souvent aux collaborateurs des outils technologiques sans leur donner les clés pour les meilleurs usages. La formation est l'un des points clés. Des opérations de sensibilisation sont de plus en plus souvent mises en place. Dans les certificats de data scientists en France, on trouve désormais des modules de cybersécurité. Chez Accenture, les employés sont obligés de suivre régulièrement un MOOC dédié. Une démarche similaire existe au sein du CHU de Nantes." Concrètement, des apprentissages liés aux précautions à prendre sont proposés (vigilance vis-à-vis des clics, des pièces jointes non connues, des expéditeurs inconnus...). En matière de gouvernance, Cédric Thellier rappelle "l'importance d'intégrer la sécurité dès le début d'un projet, sans oublier d'y associer les équipes opérationnelles concernées qui sont susceptibles de mettre en évidence des écueils auxquels on ne pensait pas nécessairement initialement."
A lire également :
Infographie Cybersécurité: 99% des employés ont effectué au moins une action à risque en 2017
Ransomware WannaCry : 7 astuces pour éviter de se faire avoir