Eric Michonnet – Comment convaincre sa direction sur des enjeux de sécurité informatique

Les menaces auxquelles sont confrontés les exploitants de réseaux dans le monde entier – qu’il s’agisse de fournisseurs d’accès, d’entreprises, de prestataires cloud, d’hébergeurs ou d’opérateurs mobiles – ne connaissent aucun répit en cette nouvelle année.

Eric Michonnet, Directeur Europe du Sud chez Arbor Networks

Les menaces auxquelles sont confrontés les exploitants de réseaux dans le monde entier – qu’il s’agisse de fournisseurs d’accès, d’entreprises, de prestataires cloud, d’hébergeurs ou d’opérateurs mobiles – ne connaissent aucun répit en cette nouvelle année. Si l’optimisme doit toujours rester de mise, le secteur de la sécurité n’a néanmoins d’autre choix que de suivre la cadence actuelle d’accroissement des vecteurs d’attaque. Comme le révèle notre 9ème étude annuelle sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report), l’ampleur des attaques est encore une fois repartie à la hausse et s’accompagne d’une complexification croissante, avec des attaques multivecteurs qui rendent la menace on ne peut plus réelle.

La victoire dans la bataille contre ces attaques dépend de nombreux facteurs : les compétences des équipes de sécurité, les plans de réponse et les ressources qu’ils mobilisent, ainsi que la capacité de mettre ces plans en action. De plus en plus, une partie du défi à relever pour les directeurs de la sécurité des systèmes d’information (DSSI) consiste à obtenir le soutien adéquat de leur direction générale. Il ne s’agit pas nécessairement pour eux d’un nouvel obstacle à franchir. En effet, l’adhésion de la direction a toujours été essentielle pour faire face aux menaces contre la sécurité informatique. Cependant, avec des menaces d’une complexité croissante, la priorité des DSSI est de veiller à disposer de ressources suffisantes pour les traiter efficacement.

La prise de conscience de ces menaces est déjà forte chez les différents responsables (y compris au plus haut niveau) : une récente étude révèle que les hauts dirigeants et les gestionnaires de risques au sein des entreprises nord-américaines redoutent aujourd’hui davantage d’encourir des pertes financières à la suite de cyber attaques qu’en raison de dommages matériels, de mauvais placements ou de défaillances boursières1. Cette sensibilisation croissante de leur direction générale à la gravité des attaques sur les infrastructures informatiques offre aux DSSI la possibilité de mettre en avant leur propre rôle dans la gestion des risques et dans la protection de l’entreprise. En faisant preuve de leadership et en s’engageant proactivement aux côtés des autres membres de la direction, le DSSI peut montrer la valeur ajoutée qu’apporte son expertise en termes de « rentabilité de la prévention ».

Toutefois, lorsqu’il s’agit de faire entendre leur voix, maints DSSI ont d’emblée fort à faire car l’informatique est vue comme un simple poste de coût et non comme un centre de profit mais aussi parce que certains membres de la direction ont des priorités toutes autres : par exemple ceux qui préfèrent attendre que leur maison brûle pour appeler les pompiers plutôt que de prendre des mesures préventives. Pour faire entendre clairement leur appel à agir et acquérir la crédibilité nécessaire à la mise en place de leurs plans stratégiques de cyber defense, les DSSI doivent déployer un éventail de tactiques :

  • Aborder les risques pour la sécurité d’une manière qui trouve un écho auprès de la direction : il n’est sans doute guère réaliste d’espérer que la direction ou le conseil d’administration assimile le jargon de la sécurité informatique. Les DSSI doivent parler des menaces en des termes compréhensibles par les dirigeants de l’entreprise. Cette barrière du langage ne devrait pas constituer un obstacle il est possible d’aborder de manière appropriée, le sujet. Parler des impacts et des conséquences des attaques est clairement le rôle des DSSI qui s’inscrit dans la stratégie globale de gestion des risques de l’entreprise.
  • Traduire les coûts évités en objectifs réalisés : des notions telles que l’augmentation substantielle de la modification du code des botnets et du recrutement des serveurs porteurs de botnets sont certes cruciales pour comprendre le mode de développement des attaques mais, exposés en ces termes à un directeur financier, il y a de fortes chances qu’elles l’intéresse et il va passer à un autre sujet en moins de temps qu’il n’en faut pour dire « déni de service distribué (DDoS) » ! Par contre le directeur financier montrera beaucoup plus d’intérêt si les conséquences des attaques sont chiffrées : manque à gagner, de perte de productivité et de perte de clients versus cout d’acquisition et cout de l’atteinte à l’image de marque.

Rapprochez-vous du directeur financier et du directeur des opérations pour obtenir les chiffres relatifs aux coûts opérationnels et aux revenus générés par des services en ligne et les collaborateurs tributaires du parfait fonctionnement du réseau informatique. Fort de ces chiffres, le DSI pourra fournir une estimation réaliste du préjudice financier causé par une cyberattaque susceptible d’impacter des services informatiques essentiels. A l’heure où de nombreux établissements font reposer des revenus considérables ainsi que la fidélité de leur clientèle sur des services en ligne, le DSSI joue un rôle crucial dans la sauvegarde des activités de l’entreprise.

De nos jours, l’évaluation des risques et le plan de continuité d’activité d’une entreprise ne sauraient négliger la prise en compte des risques opérationnels présentés par les cyberattaques contre les services en ligne stratégiques. Les entreprises ne peuvent plus se permettre de confiner leur DSSI dans les recoins de leur service informatique. Au moment où les attaques DDoS et autres cybermenaces gagnent en technicité et en complexité, les entreprises ont besoin d’un spécialiste des nouvelles technologies ayant voix au chapitre. Le rôle du RSSI n’est plus seulement de mettre en place des dispositifs de sécurité mais d’élaborer et de mettre en place des stratégies de défense contre ces attaques.

Or cette responsabilité accrue s’accompagne de l’obligation d’établir et de conserver une communication efficace avec la direction. Ce n’est qu’en communiquant au sein de l’entreprise sur les menaces et les attaques dans un langage compréhensible et adapté : étude des conséquences et chiffrage des dommages potentiels ou effectifs, couts d’acquisition, de mise en place et de maintien en condition opérationnelle des défenses que le DSSI pourra obtenir l’adhésion indispensable pour accomplir correctement son travail.

1 Execs Say Cyber-Attacks a Top Threat: AIG Survey – CNBC News – 6 février 2013