Faire du cyber-risque une culture d'entreprise 1/2

Trop souvent réservée aux responsables du service informatique, la gestion de la cybersécurité est, en réalité, l’affaire de tous.

Personne n’a oublié la cyberattaque du mois de mai dernier, ses 200 000 ordinateurs infectés, ses usines et ses hôpitaux contraints de baisser pavillon, faute de pouvoir accéder aux données « prises en otage » sur leurs machines. En cause, des failles de sécurité logicielles non comblées. Une simple mise à jour aurait donc permis d’éviter cette déferlante mondiale de malwares, selon les experts. Traduisez : le problème est technique et chacun attend des éditeurs de logiciels qu’ils changent les serrures et de la DSI qu’elle ne les quitte plus des yeux. Une approche « tout technologique » qui ne convainc pas Jean-Marc Allouët, associé BDO, conseil et audit des systèmes d’information, pour qui le cyber-risque ne pourra être réduit qu’à la condition qu’il soit appréhendé dans toutes ses dimensions et pris en charge de manière transversale.

Identifier les risques pour établir une stratégie de cyber-sécurité

Si l’extrême médiatisation des attaques a le mérite de nous sensibiliser aux problématiques de sécurité, elle présente l’inconvénient de nous laisser croire que les entreprises courent toutes les mêmes risques et doivent ainsi adopter des stratégies de protection identiques. « Or, cela ne sert à rien d’empiler les antivirus et les firewalls si le véritable enjeu est de sécuriser le smartphone du dirigeant sur lequel se trouvent des informations confidentielles concernant le rachat de son principal concurrent », rappelle Jean-Marc Allouët. L’approche au cas par cas s’inscrit donc comme la première démarche d’une stratégie de cyber-sécurité. Et une des questions qu’il convient de se poser à ce stade est : quels sont les « trésors » de l’entreprise qu’il faut absolument protéger ? « Sans surprise, la réponse variera en fonction du secteur d’activité, mais aussi de l’histoire et de la structure de l’entreprise », complète Jean-Marc Allouët.

 Compte tenu des enjeux, lutter contre le cyber-risque est aujourd’hui une priorité pour les entreprises. ”  affirme Jean-Marc Allouët, Associé BDO.

Sécurité : entamer un état des lieux

Aujourd’hui, la plupart des entreprises disposent, a  minima, de solutions de protection périmétrique informatiques solides. « Pour autant, précise Jean-Marc Allouët, il faut veiller à ne pas verser dans le syndrome de la ligne Maginot, dont l’histoire nous a montré que, si elle était infranchissable, il était possible d’en faire le tour ». Inutile donc de passer trop de temps à éprouver la fiabilité de systèmes techniques déjà adoubés par les experts. Le plus important est de se concentrer sur les zones non couvertes ou mal couvertes. D’abord en les identifiant, puis en testant leur réelle résistance. « Si l’on veut adopter une méthode efficace d’analyse des risques et d’évaluation des carences en matière de sécurité, il est nécessaire d’explorer quatre pistes : les failles techniques, les failles humaines, les attaques externes et les attaques internes », résume Jean-Marc Allouët. Des tests de pénétration pourront, par exemple, être menés pour évaluer la résistance aux attaques externes. Typiquement, les systèmes techniques seront éprouvés par des assaillants « bienveillants ». Quant aux réactions des collaborateurs, elles seront également scrutées (phishing, clic sur les pièces jointes des courriels…). Dans certains cas, des appels téléphoniques seront passés à des employés de l’entreprise afin d’obtenir d’eux un mot de passe : « Bonjour, je suis le nouveau du service informatique, j’ai besoin de vos login et mot de passe pour remettre à jour la base. C’est super urgent, mon chef me met une pression de dingue ! ». « Ces techniques de contrôle psychologique basées sur l’empathie ou la menace sont utilisées par des escrocs. C’est la raison pour laquelle elles prennent place dans nos batteries de tests », rappelle Jean-Marc Allouët. « Plus largement, insiste-t-il, il est conseillé de confier ces opérations d’évaluation à un prestataire extérieur. Non pas que les équipes en interne soient incompétentes, mais plus simplement parce qu’il est très difficile d’identifier des failles dans un système de sécurité que l’on a soi-même construit. »

Dresser un bilan 

Une fois l’état des lieux mené à bien, il est temps d’établir un diagnostic. Sachant que ce dernier, même s’il porte pour partie sur le fonctionnement des systèmes informatiques, doit absolument être présenté au-delà des murs de la direction des services informatiques. « La maturité des systèmes et des processus de cybersécurité ne doit pas être une préoccupation exclusivement confiée à la DSI. C’est un dossier qui concerne toute l’entreprise. Présenter les résultats d’évaluations devant les dirigeants est une excellente manière de leur faire appréhender concrètement les risques que court l’entreprise et leurs conséquences réelles », ajoute Jean-Marc Allouët.

[ à suivre ...]