Réunis le 6 juillet au Cyber Campus lors d’un évènement organisé par Verizon pour la présentation des derniers résultats de son Data Breach Investigation Report 2022, des directeurs cybersécurité de grandes entreprises françaises ont débattu des évolutions récentes de leurs stratégies pour protéger leurs organisations et de l’étroite coopération nécessaire avec les acteurs métiers.

Depuis quinze ans, le Data Breach Investigation Report (DBIR) réalisé par les experts de Verizon porte un regard de plus en plus précis sur l’évolution de la menace cyber et de la maturité des entreprises qui y font face. L’édition 2022 bénéficie des apports de 87 entités internationales, privées et publiques, qui ont partagé leurs données et leurs interventions pour dresser un panorama des changements en cours. L’an passé, le DBIR avait permis de commencer à entrevoir les premiers effets de la crise pandémique.

A lire aussi : Olivier Ligneul (EDF) revient sur les leçons cyber après deux années de crises

Le nouveau rapport, en étudiant les 24 000 incidents observés par les contributeurs, dont environ 5000 compromissions de données avérées, dispose aujourd’hui de beaucoup plus de recul pour analyser ces impacts. Il en va de même pour les entreprises elles-mêmes qui se sont adaptées aux enseignements de deux ans de crises, que ce soit celle du Covid ou, plus récemment, de la guerre en Ukraine. C’est pourquoi pour la présentation des résultats de ce DBIR 2022, Verizon a réuni avec Alliancy un panel de directeurs cybersécurité, afin non seulement de réagir aux chiffres évoqués par l’étude de référence, mais également pour partager leurs priorités et les adaptations stratégiques ces derniers mois.

Devant un parterre de leurs pairs réunis au Cyber Campus, lieu totem de la cybersécurité à la Défense, Olivier Ligneul (EDF), Gérard Leymarie (Europ Assistance) et Thierry Auger (Lagardère) ont accepté de se prêter à l’exercice.

Ransomware et supply chain attacks, au cœur des évolutions depuis un an

Comme l’a rappelé Marc Chousterman, principal cybersecurity architect pour Verizon en France, le bond en avant des ransomwares s’est confirmé depuis un an : l’augmentation de +13% constaté en 2021 étant l’équivalent de leur croissance sur les cinq dernières années. Une préoccupation évidente pour les directeurs cybersécurité. « Les attaques par ransomware cible aujourd’hui plutôt des structures de tailles moyennes, car elles attirent moins l’attention, mais aussi sur les filiales des grands groupes, leurs entités périphériques.

Cela a changé la vision des directeurs des systèmes d’information sur certains de leurs petits bureaux à l’étranger, le sujet n’étant plus seulement le cœur du système d’information et les grandes applications centrales. C’est une importante évolution pour 2022 » souligne ainsi Olivier Ligneul, directeur cybersécurité d’EDF, qui rappelle que les extorsions peuvent prendre plusieurs formes : bloquer les systèmes, les bloquer tout en communiquant publiquement sur l’attaque pour faire pression, ou encore exploiter les données d’un point de vue métier pour contraindre les victimes de payer.

Mais ce n’est certainement pas la seule menace contre laquelle les experts mettent en garde. Ainsi, le risque des « supply chain attacks » a également été mis en avant dans le rapport. Un constat partagé par l’Anssi qui avait énoncé en 2021 déjà être hautement préoccupée par les implications de ces attaques. Le risque venant de la compromission d’un prestataire du numérique, notamment un éditeur de logiciel, dont les mises à jour seraient la porte d’entrée dans le système de leur client, est pris très aux sérieux par les experts. Thierry Auger, en charge de la cybersécurité pour le groupe Lagardère insiste : « Cela fait partie de la donne, il faut absolument l’intégrer aux politiques de sécurité. C’est une évolution logique du marché. Nous avons aujourd’hui une obligation en termes de conformité aux réglementations d’organiser la gestion des acteurs tiers. Il faut absolument en profiter pour embarquer la partie cybersécurité, afin de cartographier les dépendances liées à ces tiers et les risques que cela peut entrainer, car cela nous aidera en cas d’incidents pour réagir vite et avec les bonnes démarches ». On estime aujourd’hui à moins d’une entreprise sur cinq, celles qui ont dressé une telle cartographie des tiers.

A lire aussi : Thierry Auger (Lagardère) évoque ce qui a changé pour lui et son entreprise en matière de cybersécurité

Changer la coopération avec les métiers

Au-delà des typologies d’attaques, et du marketing de la menace qui y est parfois associé, les directeurs cybersécurité ont tenu à mettre en avant les évolutions importantes dans la relation entre acteurs cyber et acteurs métiers. Marc Chousterman explique l’engagement de Verizon sur ce sujet : « Il y a beaucoup de termes que les métiers entendent aujourd’hui, comme « zero trust » ou « SASE (Secure Access Service Edge) » par exemple, qui peuvent paraître complexe, mais qui montrent surtout la variété des métiers de la sécurité et de leurs différentes réalités.

Souvent, la communication transverse reste limitée, alors que pour éviter les empilements de solutions et de processus, il faut se parler. Nous accompagnons de plus en plus les entreprises pour faciliter le dialogue et nous voyons en retour plus de maturité. Ces derniers mois par exemple les RFP (appels d’offres, ndlr) changent, et ils prennent mieux en compte cette réalité. »

Pour Gérard Leymarie, d’Europ Assistance, spécialiste de l’assistance et de l’assurance des voyageurs, les experts cyber bénéficient aujourd’hui d’une opportunité pour changer leur niveau de discours, grâce à l’attention grandissante des comex sur le sujet (voir encadré). Un constat partagé par les autres intervenants de cette matinée, comme Olivier Ligneul. Le directeur cybersécurité d’EDF explique l’importance de tableaux de bords pour le comex qui vont « parler métier », en exposant à la fois l’état de la menace que les plans de résilience, avec l’objectif de donner une visibilité fine à chaque directeur sur la situation dans les différentes structures dont il a la responsabilité. En parallèle, au plus proche de terrain, il souligne à quel point c’est un effort partagé pour l’expert cybersécurité et le directeur métier d’avoir une perception croisée cohérente à la fois des risques et des processus métiers, chacun découvrant souvent le monde d’en face.

Les évolutions en cours n’ont pas manqué de faire réagir le public, autour des moyens les plus efficaces pour créer ce dialogue cyber-métier, mais aussi sur la façon d’organiser concrètement des crises cyber (et avec quelle régularité) dans les grandes organisations, ou encore sur ce qui a le plus fait changer les plans de reprise d’activité et les plans de continuité d’activités ces dernières années. De quoi faire réfléchir tous les acteurs en présence, en attendant le DBIR 2023 qui aura notamment pour intérêt d’intégrer les conséquences cyber de la guerre en Ukraine sur l’écosystème.