Les 5 grands principes de la gestion du risque informatique
C’est l’ensemble des sociétés qui sont concernées par la cybercriminalité en France. Les attaques informatiques ciblent autant les PME que les grandes entreprises. Quid des 5 grands principes pour gérer ce risque.
L'actualité des derniers mois a été marquée par des incidents de sécurité notoires. Nous avons tous en mémoire les vols de données dont Ashley Madison ou VTech ont récemment été victimes ; mais, en dehors de ces attaques spectaculaires, c’est l’ensemble des entreprises qui sont concernées par la cybercriminalité. Selon l’ISTR 2015 de Symantec (Internet Security Threat Report), en France, les attaques ciblées visent autant les PME (35,6% des attaques ciblées) que les grandes entreprises (59%).1. Le premier principe d’un pirate : pas vu pas pris
Il n’y a que dans les films d’espionnage qu’un écran clignote après une attaque informatique. Le plus souvent, un pirate agit dans l’ombre pour tirer profit au maximum de son intrusion. Ainsi, d’après une étude du Ponemon Institute pour Arbor Networks, les délais d'identification des menaces frappant le système d'information atteignent souvent les cent jours : de 98 jours dans le secteur financier à 197 jours pour le e-commerce.
C’est pourquoi il est impératif d’assurer une surveillance continue des systèmes informatiques et de veiller à ce que toutes les anomalies soient remontées vers un point central. La plupart des organisations disposent d’un système de détection, d’une solution de sécurité informatique et d’un logiciel de vérification des identifiants ; mais peu d’entre elles consacrent du temps à analyser les retours de ces outils.
2. La complexité du système d’information aveugle la DSI
Les systèmes d’information évoluent avec le temps. Au moment de leur installation, le DSI est capable d’affirmer, où et comment, les données sont stockées, transmises et traitées. Mais, avec l’introduction de nouveaux usages et de nouveaux équipements, le réseau informatique se complexifie progressivement.
Si la complexité du système d’information permet agilité, rentabilité et résilience ; elle rend aussi plus difficile l’identification d’une panne informatique ou d’une donnée compromise. Une organisation doit inventorier chaque composant de son système d’information et les données qu’il gère afin de répondre efficacement à n’importe quel incident.
3. La réponse se situe au-delà du département informatique
En toute logique, la gestion du risque informatique est le plus souvent confiée au seul département IT. Pourtant, à cause des nombreux impacts, les entreprises doivent élargir les procédures de réponse aux incidents informatiques à d’autres fonctions :
- Ressources humaines afin de
gérer les vols de données personnelles ;
- Propriété intellectuelle pour
répondre à la perte d’informations stratégiques ;
- Communication afin de gérer les
relations avec la presse et les parties prenantes, et d’assurer la cohérence
des messages ;
- Juridique pour gérer les
implications légales de ce type d’incident et assurer la relation avec la
compagnie d’assurance.
Lorsqu’un appartement fait l’objet d’une fuite d’eau ou d’un incendie, les dommages se constatent à l’œil nu. Dans le cas d’une cyber-attaque, le réseau informatique semble intact. Ainsi, on s’attend à ce que le système soit réparé dans l’instant. Le processus est pourtant bien plus long.
Le département IT va d’abord chercher à contenir l’attaque en suivant le protocole suivant : bloquer les accès non autorisés, bloquer les sources de malwares (adresses email ou site web), fermer les serveurs mails et les ports, changer les mots de passe compromis ou suspects, filtrer le pare-feu, délocaliser les pages d’accueil, et enfin isoler le système.
Une fois l’attaque contenue, le département va devoir rétablir le réseau informatique, l’accessibilité aux données et la connectivité. Ensuite, il va devoir restaurer le système, confirmer qu’il fonctionne normalement et résoudre les vulnérabilités afin d’éviter un incident identique, ce qui implique de rebâtir les parties infectées du réseau. Enfin, le département informatique devra remplacer les fichiers compromis, supprimer les mesures prises pendant la phase précédente, réinitialiser les comptes touchés, installer les dernières mises à jour, changer les mots de passe et renforcer la sécurité du réseau, avec une attention particulière au pare-feu. Il convient finalement de tester les systèmes et de confirmer l’intégrité des systèmes opérationnels et de contrôle.
5. Les incidents de sécurité provoquent des dommages collatéraux
Après une attaque ciblée ou une fuite de données, les entreprises se concentrent sur la gestion de la crise en interne et sur la réponse à apporter à l’onde de choc générée par l’annonce de l’incident. Pourtant, il y a souvent d’autres conséquences en dehors du vol ou de la corruption de données ; comme le chantage ou le ransomware[1], une menace en pleine progression selon tous les acteurs de la sécurité informatique : + 165 % selon le McAfee Labs 2015 Threats Report au premier trimestre 2015, seul.
Régulièrement, il y a aussi des conséquences judiciaires. Exemple : l’Union Européenne oblige les entreprises à prendre des mesures pour protéger les données personnelles qu’elles détiennent, sous peine d’une amende de 100 millions d’euros ou équivalent à 5 % du chiffre d’affaires annuel global, le chiffre le plus important étant retenu. De la même façon, certains secteurs peuvent être sujets à des pénalités spécifiques. C’est le cas du secteur financier au Royaume-Uni, par exemple. Les autres implications réglementaires comprennent la violation d’obligation statutaire, la violation de contrat ou la négligence. L’Union Européenne oblige également à une déclaration sous 24h de toute perte ou vol de données personnelles, une déclaration qui, en France, doit se faire auprès de la CNIL, sauf dans le cas où les données ont été chiffrées.
La sécurité d’informatique est l’affaire de toute l’entreprise
La sécurité informatique n’est pas qu’une question de matériel ou de logiciel. La fiabilité du réseau dépend également de la mise en place de protocoles efficaces. La surveillance du système d’information et l’inventaire continu des outils informatique et des données qu’il traite font partie des bonnes pratiques à adopter.
L’erreur est aussi de penser que
la sécurité informatique ne concerne que le seul département IT. Elle est la
responsabilité de tous car les conséquences d’un incident vont au-delà du
système d’information et l’ensemble de l’entreprise dépend de l’outil
informatique.
[1] Un ransomware, ou
rançongiciel, est un logiciel malveillant qui prend en otage des données
personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles
puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui
permettra de les déchiffrer.