Cybersécurité : à quoi s’attendre pour 2015 ?

Après une année 2014 où de nombreuses cyberattaques majeures ont été médiatisées, comme celles qui ont frappé Target ou Sony, ou les vulnérabilités à grande échelle comme Heartbleed et Shellshock, la sécurité IT sera, sans aucun doute, à nouveau un sujet brûlant en 2015.

Il s’agit bien en effet, d’un contexte inédit, où, pour la première fois, la survie d’une entreprise est menacée par les hackers qui la prennent en otage: nous sommes passés d’un hacking crapuleux à un enjeu de société. Mais qu’est-ce qui a changé en 2014 et à quoi s’attendre en 2015 ?

L’après « affaire Sony » : la cybersécurité, un sujet prioritaire
En 2015, la cybersécurité est enfin prise très au sérieux, au plus haut niveau. Les CEO, COO, RSSI, DSI et CIO risquent leurs postes. Les entreprises (grandes ou petites) jouent leur image, leur  valorisation en bourse mais aussi leur survie. Les états jouent la stabilité de leurs économies, des institutions, et la compétitivité de leurs armées et des opérateurs d’importance vitale (OIV) qu’ils ont la responsabilité de protéger.

Plus que jamais, se protéger des cybercriminels devient une priorité. Les entreprises se posent toutes impérativement la question « Et s’il nous arrivait la même chose qu’à Sony ? ». Cette affaire aux conséquences graves, qui a aussi un volet de politique internationale, a un impact important sur l’état d’esprit des dirigeants et leurs responsabilités en 2015. Aujourd’hui, ils prennent conscience du danger et savent qu’ils doivent agir pour ne pas être pris en otages. Il en va de la survie de leurs organisations.

L’objectif du « zéro défaut »
En matière de sécurité informatique, le constat 2015 est aussi qu’il n’existe plus aucun « refuge ». Dans un passé récent, certains systèmes d’exploitation, certains réseaux, certains terminaux mobiles étaient encore considérés comme « relativement sûrs ». Chacun sait désormais que hackers et cybercriminels sont capables du pire, partout et quel que soit le système ciblé.

Par ailleurs, aujourd’hui, il ne suffit plus d’être « sécurisé à 90% ». L’objectif est d’élever encore plus le niveau de protection et de tendre vers le « zéro défaut » en matière de sécurité informatique et industrielle.

Ces décrets d’application qui vont changer la donne
En matière de sécurité informatique et industrielle, en Europe et en France, la pression législative s’intensifie et des réglementations importantes sont en train d’être mises en place. 2015 voit le passage d’un mode « recommandations, lignes directrices et sensibilisation » à un mode « obligations règlementaires ».

Par exemple en France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) s’engage, en effet, pour une cyberdéfense ambitieuse avec la nouvelle Loi de Programmation Militaire, votée en 2013 par le Parlement et dont les décrets sont en cours d’élaboration. Elle va s'atteler à l'élaboration d'un cadre réglementaire que devront respecter les OIV. 

De la sécurité informatique à la sécurité industrielle
2015 est aussi l’année phare du passage d’une stratégie de cybersécurité, essentiellement orientée IT (Information Technology) jusqu’à présent, vers une stratégie plus globale, incluant l’OT (Operational Technology). Les frontières entre sécurité informatique et sécurité industrielle tendent, en effet, à disparaître.

La cybersécurité n’ayant pas été, ces dernières années, une préoccupation majeure pour le monde industriel, certaines installations présentent de nombreuses vulnérabilités. Comme dans l’informatique traditionnelle, il y a quelques décennies, les portes et les fenêtres sont aujourd’hui grandes ouvertes pour les hackers. Les attaques portées sur les systèmes industriels, les outils de production, les SCADA  et l’internet des objets, représentent des risques bien réels si les entreprises ne se tiennent pas prêtes et n’investissent pas davantage dans la protection de leurs réseaux industriels. L’apparition de concepts comme celui de « l’industrie 4.0 » doit impérativement s’accompagner d’une prise en compte des problématiques de cybersécurité dès les phases de designs initiaux des systèmes.
 
Le facteur humain, au cœur de la sécurité
Construire un système de sécurité fiable et compétitif dans le monde informatique d'aujourd'hui est un challenge extrêmement complexe. Il existe un large panel de logiciels, produits, solutions et services de sécurité qui remplissent des fonctions bien définies, mais leur utilisation n'assurera jamais à 100% l'invulnérabilité du système. Le point faible de toute stratégie est souvent le facteur humain. Celui-ci est, volontairement ou non, très souvent responsable du « succès » des attaques et peut réduire à néant les efforts passés à l’élaboration d'un système de sécurité fiable et résistant.

Les utilisateurs sont les maillons essentiels de la chaîne de protection des actifs des entreprises et sont remis au cœur de la stratégie de sécurité. Ils doivent être sensibilisés aux règles d’hygiène informatique, à la discipline de suivi des processus et formés pour devenir des contributeurs actifs de la sécurité de leur entreprise.