Cybersécurité: “Si la question n’est plus “si” mais “quand”, il faut passer de la prévention à la réaction”

Beaucoup de gens se satisfont encore de la vision stéréotypée du cybercriminel présenté comme un loup solitaire arborant un sweat à capuche, tapant frénétiquement sur son clavier dans une pièce mal éclairée. Et pourtant… Ces dernières années, la cybercriminalité s’est organisée et est devenue lucrative.

Les pirates informatiques mènent désormais leurs activités malveillantes comme de véritables entreprises. À la clé? Un jeu du chat et de la souris dans lequel vous devez toujours garder une longueur d’avance. Le nouveau Règlement général sur la protection des données et la pénurie de talents en cybersécurité, plus criante chaque jour, ne rendent pas les choses plus simples. Dans ce contexte complexe, la question n’est plus de savoir si vous serez touché, mais quand. Je soutiens qu’un plan d’intervention bien pensé en cas d’incident est essentiel dans cette nouvelle réalité.

Un grand, un très grand champ de bataille

L’essor l’Internet des Objets (IoT) et des appareils mobiles, la collaboration plus ouverte entre les entreprises, la montée en puissance des technologies cloud… Autant de facteurs qui ont contribué à étendre le champ de bataille de la cybercriminalité. La preuve? On ne compte plus les affaires d’atteintes à la protection des données. Pensez à WannaCry ou aux reportages que l’on nous sert de semaine en semaine sur les millions d’enregistrements de données personnelles qui auraient “fuité”. Les détournements de données sont devenus inévitables. Une stratégie d’intervention étayée en cas d’incident est essentielle, d’autant plus dans un contexte où beaucoup d’entreprises sont débordées et éprouvent du mal à réagir avec rapidité et efficacité lorsqu’une brèche ou un piratage se produit.

Pour ne rien gâcher, de nouveaux règlements comme le RGPD (en vigueur en mai 2018) stipulent que vous avez 72 heures (chrono) pour faire état de toute infraction. Et le DSP2 (déjà en vigueur) exige que les entreprises FSS notifient les incidents dans les 4 heures. Des délais aussi serrés exigent un plan d’intervention susceptible d’être activé au moindre incident.

Une Sainte Trinité sous pression

La “Sainte Trinité” classique de la cybersécurité consiste à détecter, à prévenir et à réagir. La détection et la prévention des brèches et des piratages sont certes le principal axe d’investissement, mais dans un environnement où la question est plutôt de savoir quand vous serez piraté, il conviendrait plutôt de se concentrer sur l’élaboration de mesures d’intervention à prendre en cas d’incident, selon un véritable plan de défense. Une récente étude Ponemon ^(*) révèle toutefois qu’il reste beaucoup de chemin à parcourir: 77% des organisations admettent qu’elles n’ont pas de plan officiel d’intervention en cas d’incident de cybersécurité (CSIRP) à appliquer de façon uniforme à travers toute l’organisation. Le point de départ? Entourez-vous de la bonne technologie pour vous aider à détecter les anomalies de manière beaucoup plus automatisée. Les pirates informatiques sont chaque jour plus intelligents. Certaines attaques peuvent se terminer avant même que vous les remarquiez, tandis que d’autres peuvent prendre des années avant d’arriver à leurs fins.

Je sais, l’I.A. sait

Une manière de vous armer contre cette grande diversité de stratégies d’attaque consiste à rassembler autant de connaissances que possible, le plus vite et le plus exhaustivement possible. Permettez-moi d’illustrer mes propos par un exemple: il est inutile d’avoir une multitude de fichiers PDF reprenant les blogs d’experts en sécurité sur les développements récents et les stratégies de réponse. Après tout, les données ne sont pas structurées et passer en revue tous les blogs pour obtenir des informations pertinentes prend un temps précieux. Imaginez maintenant que nous augmentions notre propre intelligence grâce à la technologie (pensez à Watson pour la cybersécurité, par exemple): cette manne d’idées devient soudainement exploitable et peut l’être de différentes manières pour lesquelles les humains n’ont tout simplement pas la “bande passante” intellectuelle nécessaire. De cette manière, les nouvelles technologies peuvent propulser les plans d’intervention en cas d’incident à un niveau supérieur.

Problèmes communs, solutions communes

Y a-t-il quelque chose de plus important encore pour porter les plans d’intervention en cas d’incident au niveau supérieur? Assurément: comprenez que ces plans doivent avoir une portée à l’échelle de l’entreprise. La cybercriminalité n’est pas le domaine réservé des départements IT et de la sécurité. Les problèmes qui affectent l’ensemble de l’entreprise doivent être anticipés par l’ensemble de l’entreprise: comment un directeur des relations publiques traitera-t-il le préjudice à la réputation causé par une fuite? Comment un commercial communiquera-t-il avec les clients? Comment allez-vous traiter avec des parties prenantes aussi diverses que les fournisseurs, les clients, les consommateurs, les pouvoirs publics?

En ce qui me concerne, je vois deux niveaux différents de préparation aux incidents. Tout d’abord, les menaces doivent être détectables 24 heures sur 24, 7 jours sur 7. S’il vous manque du personnel ou des compétences (croyez-moi, vous n’êtes pas seul: le manque de compétences en matière de sécurité est un phénomène mondial), des solutions comme les services de sécurité gérés garantissent une surveillance constante et une détectabilité à jour des menaces.

Mais ce n’est pas tout: vous devez disposer d’un plan complet d’intervention en cas d’incident qui laisse le moins de place possible au hasard. Et cela comprend la mise à l’essai de votre plan dans des conditions réelles, ce qui est possible dans des lieux spécialisés comme la Cyber Range d’IBM. Nous avons tous déjà fait l’exercice d’incendie annuel à l’échelle de l’entreprise: pourquoi ne pas avoir un exercice de sécurité d’une même ampleur?

L’orchestration des processus d’intervention en cas d’incident est une autre capacité essentielle, car elle permet aux organisations de gérer et de coordonner l’ensemble du processus d’intervention (à travers la technologie, les processus et les personnes) pour une réponse précise et rapide. L’automatisation des plans d’intervention en cas d’incident est essentielle, à cet égard: une grande partie du travail manuel d’enquête et d’intervention en cas de cyberincident peut être prise en charge par un logiciel. L’automatisation contribue ainsi à combler le manque de compétences, car les analystes de la sécurité peuvent prendre des décisions intelligentes et agir rapidement en cas d’alerte.

Changement d’époque, changement de mentalités

Dans l’ensemble, la menace de la cybercriminalité est certes en hausse. Avec les bons préparatifs, je suis toutefois convaincu que nous pouvons changer fondamentalement et en toute confiance la façon dont nous réagissons aux cyber-menaces. De nouvelles responsabilités émergent dans l’ensemble de l’organisation, à la suite de l’évolution de la cybercriminalité. Mais de plus en plus d’organisations de nombreux secteurs commencent à réaliser l’importance de la cybersécurité, même si elles ne sont pas historiquement impliquées dans la question (pensez aux systèmes de chauffage: ce n’est que récemment qu’elles sont devenues des appareils IoT qui partagent des données sensibles avec les appareils mobiles des techniciens par le biais du cloud). Renforcer l’intelligence et les efforts humains par la technologie est un pas dans la bonne direction, tout comme l’examen de la façon dont le défi de la sécurité peut être allégé grâce à des services de sécurité gérés. Vous ne ferez néanmoins un pas de géant qu’à la condition d’intégrer ce genre de mesures dans un plan d’intervention plus large et qui couvre l’orchestration et l’automatisation.

^{(*) The Third Annual Study on the Cyber Resilient Organization, Ponemon Institute, mars 2018}