La sécurité IT évolue et passe de "ce que nous avons" à "ce que nous faisons"

De nos jours, les hackers peuvent accéder aux données des entreprises de mille et une manières... Lorsque même les plus grandes organisations ont du mal à se défendre dans un tel climat, que peuvent faire les entreprises ?

Dans le passé, les départements informatiques approchaient la cybersécurité avec une méthode par défaut, à l'image des princes médiévaux fortifiant leurs châteaux. Ils construisaient des murs aussi élevés que possible pour s'abriter des flèches et d'une épaisseur maximum pour résister aux coups de bélier. Ils creusaient des douves larges et profondes pour ne pas laisser approcher l'armée ennemie. Ils bâtissaient alors un donjon (au point le plus élevé, véritable centre du système de défense), puis y enfermaient tous leurs trésors.

Remplacez ces armes physiques (flèches, béliers, armées) avec leurs équivalents numériques (virus, phishing, usurpation d'identité, intrusions) et vous obtiendrez une bonne analogie avec la façon dont les données étaient traditionnellement protégées. Cependant, la technique du château fort était dans l'incapacité de protéger les entreprises face au nombre croissant de cybermenaces complexes, planifiées et malveillantes auxquelles elles faisaient face. Les murs n'étaient jamais assez hauts, les douves jamais assez larges. De plus, il fallait connecter ce château à un nombre croissant d’emprises plus ou moins de confiance (applications Web et mobiles, systèmes partenaires et fournisseurs, accès distants...) ; cette démarche  nécessitait de nombreuses portes rendant le périmètre vulnérable.

De nos jours, les hackers peuvent accéder aux données des entreprises de mille et une manières, notamment en exploitant une vulnérabilité au sein de l'une des centaines d'applications prises en charge par le service informatique, ou bien depuis l'un des milliers de terminaux dont l'entreprise dépend pour son activité. Simultanément, les compétences, les ressources et la détermination des cybercriminels ne cessent de croître. Lorsque même les plus grandes organisations du monde et les services gouvernementaux ont du mal à se défendre dans un tel climat, que peuvent faire les entreprises ?

Les DSI et les services informatiques astucieux ont choisi de changer leur approche relative à la cybersécurité, adaptant ainsi leur stratégie. Ils ont abandonné l’ambition de constituer une muraille imprenable au profit d’une approche dynamique et en profondeur de la sécurité, par couches successives protégeant prioritairement les ressources les plus critiques. Ils ont cessé de considérer la sécurité comme un état à atteindre et l'envisagent comme une activité permanente en amélioration continue. La sécurité n'est jamais acquise et doit être constamment développée, testée, contrôlée et adaptée.

La sécurité des applications, notamment Web et mobiles, est une parfaite illustration de cette approche dynamique des risques cyber. 80% des cyberattaques sur les entreprises exploitent des vulnérabilités au sein d'applications utilisées quotidiennement, de la communication à la collaboration en passant par la logistique, les prises de commandes et la comptabilité. Ces attaques applicatives permettent souvent d’accéder à des données et à des ressources critiques pour l’entreprise ou ses clients.

Pour les cybercriminels, la méthode est commode ! Beaucoup d’applications web ou mobiles sont directement accessibles au public, sinon elles le sont indirectement après avoir pris le contrôle de l’ordinateur d’un utilisateur interne ; action pas toujours très difficile à réaliser. Trop souvent les développeurs ne possèdent ni les compétences ni le temps nécessaire pour sécuriser les applications sur lesquelles ils travaillent, les rendant plus susceptibles de présenter des failles exploitables par les cybercriminels. Les vulnérabilités sont découvertes tardivement, quand elles le sont, nécessitant des opérations complexes de maintien en condition de sécurité. Au sein d'un service informatique débordé, les versions des logiciels ne sont pas toujours à jour et les vulnérabilités toujours présentes, ouvrent la voie à des violations de données.

Les meilleurs DSI se protègent en optant pour ce que nous appelons « l'industrialisation du test de sécurité des applications ». Il s'agit de tester rigoureusement et à chaque nouvelle version la sécurité de chacune des applications utilisées par une entreprise, en donnant la priorité aux plus critiques. Plus tôt cette méthode est pratiquée lors de l'adoption ou du développement d'une application, plus elle est efficace. Ces tests, en partie automatisés, peuvent se faire sur le code, source ou exécutable – ce sont les tests statiques – ou sur l’application en fonctionnement – ce sont les tests dynamiques. La méthode convient aussi bien pour les développements internes que pour les applications réalisées par des tierces parties (éditeurs, fournisseurs, logiciel libre…). Elle peut être mise en œuvre en interne, lorsque l’entreprise dispose de toutes les ressources nécessaires (outils, compétences) et/ou en collaboration avec un prestataire de service qui dispose des capacités industrielles et de l’expertise requises.

Voici une dernière analogie. Si vous avez vu le film Ocean's Eleven, vous savez que même la chambre forte du célèbre casino Bellagio, avec son système de sécurité de pointe et ses mécanismes ultra fiables, n'est pas totalement à l'abri d’une attaque bien conçue et déterminée. Il en va de même pour les systèmes d’information, même sécurisés. Pour protéger leurs données les plus critiques, les entreprises doivent donc rester vigilantes en permanence et surveiller les menaces qui la ciblent, tout en faisant évoluer constamment leurs systèmes, leurs applications et leurs processus.