La cybersécurité est une question informationnelle

Les remparts de la sécurité IT reposent sur deux piliers : la sensibilisation du personnel aux bonnes pratiques de cybersécurité et les logiciels de protection. Cependant, l'entreprise doit aussi avoir une approche proactive d'exploration du paysage de le menace via un dialogue constant avec l'écosystème.

Les deux confinements ont renforcé la fragmentation physique des entreprises et des équipes. Or chaque espace supplémentaire entre les collaborateurs et les systèmes informatiques représente une brèche potentielle que les pirates peuvent utiliser pour s’infiltrer. Pour cela, ils disposent d’une panoplie d’outils redoutables, des ransomwares au phishing en passant par le social engineering. Ces outils sont de plus en plus sophistiqués, notamment ceux qui viennent d’organismes soutenus par des Etats. Et cela marche : en 2020, les hackers ont fait perdre aux Etats et entreprises 1 000 milliards de dollars, soit 1% du PIB mondial.

Entre pirates innovants et employés désensibilisés

En réalité, les cybermenaces sont le signe du succès des systèmes informatiques : plus l’informatique est efficace, plus elle offre de fonctionnalités et plus elle est utilisée… et plus le potentiel de dommages est important si un hacker arrive à en prendre le contrôle. Cela pousse les agents malveillants à se montrer créatifs pour trouver des brèches dans les systèmes de sécurité informatique des organisations. Tellement qu'aujourd’hui, les hackers font partie des premiers utilisateurs des nouvelles technologies. Cela leur permet de tester les logiciels, explorer la façon dont ils fonctionnent et y déceler des vulnérabilités avant qu’ils soient utilisés par le public. A partir de là, ils n’ont plus qu’à choisir l’entreprise de leur choix et exploiter la vulnérabilité qu’ils ont déjà trouvée dans le logiciel pour y pénétrer.

De plus, le télétravail facilite le travail des hackers. Aujourd’hui, en théorie, on peut travailler avec le même niveau de sécurité que l’on soit chez soi ou au bureau : on peut se connecter au serveur de l’entreprise avec un VPN, avoir un ordinateur portable de l’entreprise chez soi et sécuriser sa connexion Wi-Fi. Mais la situation est différente lorsqu’on regarde la situation sous un prisme humain : lorsqu’on est chez soi, notre conjoint ou nos enfants peuvent nous distraire, le fait d’être à la maison peut nous faire oublier les bonnes pratiques en matière de sécurité.

Au final, on risque de cliquer sur un email de phishing alors qu’on l’aurait rapidement supprimé si on l’avait reçu au bureau. Les hackers le savent et tirent parti du changement d’état d’esprit des employés lorsqu’ils sont chez eux. Les DSI sont donc pris en étau : d’un côté, les pirate sont très motivés pour infiltrer les entreprises, et de l’autre les employés ont tendance à faire oublier les bonnes pratiques en matière de cybersécurité. Il est donc particulièrement important de connaitre les menaces potentielles pour bien cibler les efforts de sécurisation.

La cybersécurité est un état d’esprit

Pour connaitre l’ennemi, il faut commencer par penser au-delà des silos. La cybersécurité est un enjeu mondial – que l’on se place du point de vue des défenseurs ou attaquants – et il faut la traiter comme telle. Un groupe de hackers ne se privera pas d’attaquer une entreprise parce qu’elle n’est pas située en France, que la branche en question n’est pas francophone, ou qu’elle ne fait pas partie de l’industrie qu’il attaque généralement. Les experts en cybersécurité doivent avoir une vision globale des menaces, sans distinctions géographiques, linguistiques ou industrielles.

Ce constat doit renforcer la solidarité de fait qui existe entre les professionnels de la cybersécurité. Il est important que les équipes établissent un dialogue inter-entreprises, ainsi qu’avec les agences de conseil, les éditeurs de logiciels et les autorités comme l’ANSSI. Ces échanges, formels et informels, permettent d’avoir une meilleure compréhension des signaux faibles sur le paysage de la menace.

Prenons un exemple. Aux Etats-Unis, le CISO (Office of the Federal Chief Information Security Officer of the United States) publie régulièrement des alertes sur un certain nombre d’éléments pertinents pour les entreprises. Ces alertes sont adaptables sur mesures selon le profil de l’entreprise et permettent d’aller droit au but pour être informé des éléments les plus importants tout en évitant la surcharge informationnelle.

Une autre raison pour laquelle le réseau est si important est sa flexibilité. Les agences publiques dispenses des informations fiables et font autorités ; mais la contrepartie de cette fiabilité est une certaine lenteur. Ainsi, les responsables cybersécurité d’hôpitaux américains ont récemment dû se passer des recommandations officielles en matière pour faire face à une nouvelle attaque que le CISO n’avait pas vu venir.

C’est le partage de bonnes pratiques entre responsables hospitaliers qui a pallié ce manque. Grâce à des outils informels comme des groupes LinkedIn, ils se sont expliqués mutuellement ce qu’ils faisaient pour détecter le virus sur leurs systèmes, protéger leurs terminaux et resensibiliser le personnel aux bonnes pratiques de cybersécurité.

Le succès de l’informatique attire des pirates de plus en plus nombreux et aux outils de plus en plus sophistiqués. Pour y répondre, les responsables de la cybersécurité doivent concentrer leurs efforts sur trois aspects : la mise en place de mesures de sécurité logicielles adéquates, la sensibilisation du personnel aux bonnes pratiques et l’échange avec leur réseau pour être au fait de l’évolution du paysage de la menace.