Sécurité : les décideurs encouragés à être aussi pragmatiques que les criminels

cybersécurité-étude-Verizon-articleAvec l’édition 2016 de son Data Breach Investigation Report (DBIR), dévoilée aujourd’hui, Verizon fait le tour des menaces et des enjeux de sécurité des entreprises. Depuis quelques années, le spécialiste essaye de sensibiliser de plus en plus les décideurs, au-delà des experts techniques. Retour sur des points clés trop souvent sous-estimés, en amont de l’évènement Sécurité organisé par la rédaction du magazine Alliancy, le 31 mai.

Les entreprises sont confrontées à un statu quo et à des menaces qui changent peu, car elles sont majoritairement incapables de rendre inefficaces les méthodes d’attaque actuelles. Les mécanismes de défense et de contrôle, quand ils sont implémentés, sont souvent mal ou pas utilisés. C’est l’un des principaux enseignements du DBIR 2016.

Partisans du moindre effort

« Il y a un décalage assez important entre la vision d’évènements cauchemardesques, presque « hollywoodiens », que peuvent avoir les dirigeants d’entreprises et les médias concernant les cyberattaques… et la réalité faite de pragmatisme et d’opportunisme des attaquants » note Robinson Delaugerre, lead forensic investigator (enquêteur judiciaire) pour Verizon France.  La plupart des criminels suivent en effet la voie du moindre effort : le moyen le moins complexe pour pénétrer dans un système informatique et le vol de données qui seront faciles à revendre. 93% des compromissions de données se déroulent en moins de quelques minutes relève le rapport. Le véritable grand espionnage, à base de schémas d’attaques à long terme, ne concerne que 0,4% des « cas réels » étudiés par Verizon et remontés par les 70 partenaires du rapport. Les principaux concernés sont évidemment, en France, les opérateurs d’importance vitale (OIV) que l’Etat, par l’intermédiaire de l’Anssi, cherche à mieux protéger.

Quelques menaces prioritaires par secteur

Pour le reste des entreprises, l’immense majorité des menaces se décompose en 2 ou 3 risques principaux, selon son secteur d’activité. Ainsi pour le retail, 9 incidents sur 10 sont le fait d’attaques DDoS, de menace sur les applications de points de vente qui gèrent les données de paiement ou de compromission au niveau du site web.  Dans le secteur de la santé, la perte ou le vol des terminaux, les erreurs et les malversations de collaborateurs ou de prestataires représentent quant à eux 73% des incidents réels.

Un éclairage récent de ce pragmatisme des criminels : le pivot qu’un bon nombre ont fait opérer à leur « business model ». « Ces derniers mois, tous les experts ont constaté une explosion du nombre de ransomware. Cela s’est produit en parallèle d’une baisse importante de valeur pour les données de cartes bancaires, car les banques et les réseaux de paiement ont fait des progrès énormes pour détecter les fraudes avec de nouveaux algorithmes et réduire le laps de temps où ces données ont une réelle valeur. De quoi compenser le manque à gagner » analyse ainsi Robinson Delaugerre.

Quelques dispositions de base peuvent permettre d’éviter le pire

Que faire quand on a compris cet état d’esprit des agresseurs ? L’idée principale est qu’il n’est pas nécessaire de courir plus vite que l’ours, mais uniquement d’être plus rapide que son voisin pour éviter une grande partie des ennuis. Ce cynique adage est valable pour la sécurité des entreprises en générale. « Un attaquant qui veut s’en prendre spécifiquement à vous et qui a les moyens pour le faire, arrivera à ses fins malgré toutes les mesures mises en place » reconnait l’expert de Verizon. Mais ces cas sont une rareté : à l’inverse la majorité des incidents viennent du « bruit », des attaques non-ciblées, non-motivées, qui visent à s’en prendre, souvent de manière automatisée, aux entreprises sur des problèmes simples. Celles qui n’auront pas « patché » une vulnérabilité répandue, par exemple. En la matière, la moindre mesure de base bien mise en application au sein d’une entreprise, lui épargnera bien des déboires : l’attaquant privilégiera une cible légèrement plus facile à toucher.

Que changer ?

Cette prise de conscience du pragmatisme et de la simplicité d’un grand nombre d’attaque par les décideurs, loin de l’image qu’ils peuvent se faire de la « cybersécurité », est le point de départ pour porter une vision de long terme dans l’entreprise. Les stratégies de sécurité peuvent s’implanter efficacement par petits pas, sans investissements gargantuesques. Une progressivité qui doit aussi être l’occasion d’obtenir la conviction que l’on monte en puissance sur les bons sujets. « La surmédiatisation d’une faille comme Heartbleed en 2014 a maintenu des équipes de sécurité sur la brèche pendant des semaines, alors que les entreprises réellement concernées étaient beaucoup moins nombreuses qu’on ne l’évoquait. Combien d’investissements de temps et d’argent sur des fausses priorités ? » s’interroge Robinson Delaugerre.

Du point de vue d’une direction générale, mais aussi d’une direction des systèmes d’information, la prise en compte en amont du sujet sécurité et le gain de maturité par petites touches des équipes, permet à l’inverse d’éviter les surcoûts majeurs liés à la remédiation technique et au conseil légal pour des incidents qui auraient pu être facilement évités.

Mieux, cette approche dépassionnée, permet de réconcilier la sécurité et la transformation numérique globale qu’opèrent aujourd’hui les entreprises. Les deux reposent en fait sur les mêmes piliers : d’abord, la remise en question du système d’information pour aller vers l’agilité, la réactivité, la modularité, la capacité de croissance rapide (« scalabilité ») que des acteurs majeurs comme Google ou Amazon ont prouvé être compatibles avec une excellente sécurité. Ensuite, la naissance de collaborations transverses dans l’entreprise, entre acteurs techniques, administratifs et métiers. Ce facteur clé d’agilité pour la transformation numérique est aussi le point fondamental de maturité et de montée en compétence en matière de sécurité. Les collaborateurs, issus des métiers ou des fonctions techniques, qui travaillent ensemble aux remédiations suite à des incidents de sécurité, gardent en général des liens forts, devenant moteurs d’une transformation numérique moins risquées sur leurs domaines respectifs. De quoi encourager ceux qui, à juste titre, estiment qu’améliorer sa sécurité n’est pas une fin en soi.

>> Retrouvez l’intégralité du Verizon 2016 Data Breach Investigations Report

A l’occasion de la sortie du DBIR, la rédaction d’Alliancy le mag organise une soirée spéciale cybersécurité sur le thème : « Faux combats ou vraies urgences : le RSSI et sa proactivité face aux compromissions de données ».


Réagissez à cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *