Comment retrouver confiance dans sa stratégie de cyberdéfense ?
Les cyberattaques n’ont jamais autant fait parler d’elles. Devant l’ampleur des menaces et de leurs conséquences financières, les entreprises sont pourtant encore loin d’être réellement prêtes.
Une cybercriminalité aux lourdes conséquences économiquesLes effets de la cybercriminalité sur l’économie ont été multipliés par cinq depuis 2013 (selon les données de l’Union européenne). Les entreprises ont profité de la vague du numérique pour gagner en agilité et proposer de nouveaux services. Leur vulnérabilité s’est accrue par la même occasion et les pirates ou les organisations malveillantes ne manquent pas d’exploiter la moindre faille.
L’évolution des systèmes d’information, les nouveaux usages du numérique (cloud, IoT, mobilité) ont augmenté la surface d’attaque. Les applications elles-mêmes ont évolué : leur nombre se multiplie et la façon dont elles sont construites évolue (par exemple : micro-services). Les systèmes de protection n’ont pas suivi le mouvement aussi rapidement et les solutions de type périmétrique ont atteint leurs limites. C’est donc tout une approche de sécurité qui est à repenser. Pour commencer, il est nécessaire d’avoir une bonne compréhension des risques qui pèsent sur les entreprises.
La sécurité encore loin d’être au rendez-vousMalgré des investissements conséquents, les stratégies de sécurité consistent encore trop souvent à empiler des produits qui augmentent la complexité sans véritablement améliorer l’efficacité. Les entreprises n’ont pas toujours pris suffisamment la mesure du problème. Le cloud par exemple a profondément modifié le paysage informatique avec des conséquences fortes sur la sécurité. La plupart des décideurs français font confiance au cloud pour aider à gérer les problèmes de cybersécurité mais 57% s’inquiètent du passage au cloud[1]. Ils regrettent la perte de contrôle de leur infrastructure et l’absence d’un modèle opérationnel cohérent entre les politiques d’hébergement sur site et dans le cloud. On ne sera donc pas surpris de constater que les investissements les plus importants dans la sécurité en Europe (50%)[2] portent sur le cloud.
La sécurité exige l’implication de tousTandis que les menaces augmentent, la pénurie des compétences se fait ressentir. En France, 45% des entreprises indiquent qu’elles peinent à pourvoir les postes ouverts en cybersécurité [3]. Mais au-delà des compétences spécialisées c’est toute l’entreprise qui doit se mobiliser. La sécurité a été trop longtemps cantonnée aux équipes de spécialistes alors qu’elle doit être l’affaire de tous. Les entreprises se focalisent sur des produits de sécurité et oublient que le maillon faible reste l’humain. C’est donc une véritable culture de la sécurité qui doit s’instaurer dans l’entreprise. Cela demande une collaboration de tous les services et une implication forte des dirigeants. Hameçonnage des mots de passe, problèmes d’identité d’accès, ingénierie sociale : tous ces incidents pourraient facilement être évités en respectant des principes simples de cyber-hygiène. Cette culture de la sécurité au sein de l’entreprise ne peut être effective que si la stratégie en la matière est pertinente, bien définie et bien comprise. C’est malheureusement rarement le cas. Les spécialistes et les dirigeants partagent la même analyse des menaces mais peinent à s’accorder sur les mesures à prendre.
Une nouvelle approche de la sécurité est nécessaireSe focaliser uniquement sur les menaces devient un défi impossible à relever. La sécurité moderne nécessite une approche nouvelle, "by design". La diversité des attaques, leur vitesse de propagation et leurs impacts financiers nécessitent de repenser l’approche. D’une part, en intégrant la sécurité dès la conception de l’infrastructure et non pas en l’ajoutant en fin de design, de façon à ce que les applications puissent consommer des services de sécurité intrinsèques comme elles consomment d’autres ressources. D’autre part, mettre l’accent sur une protection proactive des applications et des données qui se concentrent sur les comportements attendus plutôt que sur des solutions réactives qui ont par nature toujours un coup de retard sur la dernière menace.
[1] Source [2] Source[3] Source