Close
  • Français
  • English

02/11/2012Pour une approche systémique de la cybersécurité [Par Yves Le Floch, Sogeti]

Les attaques informatiques à des fins d’espionnage et d’intrusion, massives et ciblées, deviennent de plus en plus nombreuses et sophistiquées. Souvent menées par d’habiles organisations criminelles ou subversives, parfois soutenues par des Etats, elles menacent les informations sensibles placées au cœur des systèmes d’information ainsi que le bon fonctionnement des processus informatisés qui animent le fonctionnement de la société. Devant l’ampleur de cette cyber-menace, les entreprises et les administrations ont avantage à s’inscrire dans une approche systémique de cybersécurité, visant à accroître leur sécurité informatique de manière globale et cohérente.

Depuis quelques années, les entreprises et les administrations sont victimes d’un nombre fortement croissant d’attaques informatiques. L’époque des « gentils hackers » étant révolue, la cyberattaque est désormais une activité quasiment industrielle, génératrice de préjudices considérables pour ses victimes et de bénéfices très importants pour les opérateurs, fournisseurs et prestataires qui y participent. Des dizaines de milliers de personnes en font leur activité quotidienne, à titre individuel parfois, mais bien souvent au sein d’habiles organisations criminelles ou subversives, parfois soutenues par des Etats.

Qu’elles s’inscrivent dans des objectifs pécuniaires, idéologiques ou stratégiques, ces attaques visent l’appropriation de données sensibles ainsi que, de plus en plus souvent, la perturbation ou le sabotage. Elles sont massives, plaçant sous la coupe des pirates, pendant des années, des pans entiers de systèmes d’information d’entreprises. Mais elles sont aussi ciblées, car les attaquants choisissent très soigneusement leurs cibles qu’ils n’hésitent pas à atteindre via plusieurs rebonds.

Les tendances technologiques facilitent la tâche des pirates et tendent à aggraver la situation : les réseaux sociaux perçus comme de confiance, l’informatique mobile, le Cloud computing, les systèmes industriels interconnectés et la communication entre machines se généralisent, ajoutant quotidiennement de nouvelles failles informatiques qui sont tôt ou tard exploitées par les attaquants.

Un contexte d’attaques informatiques à grande échelle

La plupart des attaques informatiques restent secrètes car les victimes préfèrent ne pas ébruiter leur infortune ou ne sont tout simplement pas
conscientes de l’agression. Certaines vagues d’attaques – souvent chinoises – ont cependant été rendues publiques, sous des désignations un peu ésotériques telles que ShadyRat, Aurora, GhostNet et autres Byzantine Candor. Leurs victimes, entreprises ou administrations, se comptent par centaines et peut-être par milliers. Même si les outils n’ont rien à voir, on peut comparer ce contexte d’attaques informatiques généralisées à l’espionnage soviétique de la guerre froide qui visait, méthodiquement, systématiquement, à infiltrer nos entreprises et s’approprier nos secrets. Cet espionnage à très grande échelle, qui provient essentiellement de l’Est, sape les atouts technologiques et concurrentiels de notre économie. Il permet à des entreprises étrangères peu regardantes, publiques ou privées, d’économiser de nombreuses années de recherche et développement et de l’emporter déloyalement dans les négociations commerciales.

Dans ce contexte, il convient de réexaminer la sécurité des systèmes d’information et des processus informatisés qui nous entourent. Les mesures de sécurité mises en place dans l’entreprise par le passé, au fur et à mesure des déploiements de nouveaux services informatiques, ne peuvent plus suivre le rythme de l’apparition des failles et des exploitations malveillantes. Au vu de l’ampleur qu’elle a prise, la menace ne peut être contenue que par une approche systémique, intégrant de manière organisée et cohérente toutes les démarches qui contribuent à la cybersécurité, y compris dans leurs dimensions organisationnelle, juridique et technique. La sécurité de l’informatique industrielle et de l’informatique embarquée doit être passée en revue au même titre que celle de l’informatique de gestion. La sécurité des produits, des projets et des applications doit être examinée comme celle des infrastructures informatiques. L’assurance peut couvrir les risques résiduels, une fois que la démarche systémique a réduit ceux-ci au minimum.

La démarche systémique de cybersécurité

La démarche systémique de cybersécurité résulte d’une approche de progrès bouclée comprenant :

[list style=’arrow’]
[list_item] Une évaluation de la sécurité réelle de l’entreprise, menée à l’aide d’audits organisationnels et techniques et de tests d’intrusion, permettant d’identifier les faiblesses et d’évaluer le niveau de maturité de la sécurité de l’entreprise ; [/list_item]
[list_item] Une analyse de risques sérieuse, une politique de sécurité, une gouvernance appropriée, une organisation solide et des collaborateurs sensibilisés ou formés ; [/list_item]
[list_item] Une architecture informatique robuste et le déploiement d’outils de sécurité adaptés, correctement administrés et opérés ; [/list_item]
[list_item] Une surveillance permanente du système d’information assurant le maintien en condition de sécurité et permettant de détecter au plus vite les incidents ; [/list_item]
[list_item] Une analyse détaillée des évènements intervenant dans le système afin de réagir rapidement en cas d’attaque ; [/list_item]
[list_item] Une capacité de gestion de crise organisée et éprouvée permettant de réduire l’impact des agressions et de minimiser les dommages pour l’entreprise. [/list_item]
[/list]

La démarche systémique s’inscrit dans une approche par les risques, qui permet d’accroître sur tous les fronts, de manière cohérente, la cybersécurité de l’entreprise. Cette cohérence dans la démarche est essentielle : la sécurité d’une chaîne est celle de son maillon faible, et c’est par là que rentrera le pirate. Comme l’indique le référentiel général de sécurité français : 80% des attaques informatiques sont bloquées par une « hygiène informatique » sérieuse et de bonnes mesures de sécurité préventives. 19% des attaques sont parées à l’aide de dispositifs proactifs de surveillance et de détection des agressions. Quant au 1% des attaques restantes, les plus sophistiquées, il est impossible de s’en prémunir à coup sûr mais l’entreprise peut considérablement limiter leur impact si elle s’est dotée d’une sécurité en profondeur et s’est bien préparée à gérer la crise.

Aujourd’hui, des entreprises payent le prix fort pour avoir ignoré les dangers du cyberespace dans lequel évoluent leurs opérations, certaines n’y ont pas survécu. Face à l’ampleur prise par la menace informatique, aussi bien sur un plan qualitatif que sur un plan quantitatif, les administrations et les entreprises ont intérêt à s’investir de manière très organisée dans la cybersécurité. Une approche systémique qui nécessite quelques efforts et ressources, mais permet de maîtriser les risques business d’aujourd’hui et de se prémunir Evénements bien plus graves et coûteux.

Yves Le Floch,

Directeur du développement de la cybersécurité du groupe Sogeti