Vers une gestion globale du cyber-risque

Aujourd’hui, les entreprises sont toutes cyberdépendantes. Pour se prémunir des risques inhérents, il leur faut entamer un processus de gestion du risque, peu importe leur taille. Objectif : pouvoir prendre des décisions averties, en concertation entre toutes les parties prenantes.

Vers une gestion globale du cyber-risque

La transformation numérique concerne aujourd’hui toutes les entreprises, certes à des stades d’implémentation différents. En termes de sécurité, les entreprises françaises sont encore trop en mode réactif, même si certains secteurs, comme la banque/assurance, sont peut-être plus matures du fait des réglementations sectorielles déjà en place.

« D’une manière générale ce que l’on constate, c’est que le catalyseur de cette transformation numérique va être la confiance », analyse Laurent Heslault, directeur des stratégies de sécurité de Symantec. De nombreuses études montrent d’ailleurs que la capacité à protéger convenablement les données de son client fait partie au minimum des trois critères de choix d’un service en ligne. La prise de conscience arrive, dire qu’elle se traduit dans les faits, on n’y est pas encore.

Evidemment, la médiatisation d’affaires (comme Wannacry ou Petya récemment) a un avantage : elle permet la prise de conscience des dirigeants. « Et il faut encore le rappeler : le cyber-risque n’est pas un problème technique, mais de management. Tout se passe aujourd’hui au niveau de l’orchestration des processus, des outils, des normes… à travers ce que nous nous appelons chez Symantec, une plateforme unifiée », poursuit-il.

« Tout se passe aujourd’hui au niveau de l’orchestration des processus, des outils, des normes… » Laurent Heslault, directeur des stratégies de sécurité de Symantec

Il n’est pas rare de voir encore des entreprises qui ont 30, 40, voire 60 fournisseurs différents de systèmes de sécurité. Ce qui devient évidemment ingérable au regard des nouveaux usages : « En l’état, on ne sait plus quel terminal appartient à qui ; quelles applications sont dans le cloud ; où se trouve l’information critique ; qui se connecte à quoi et d’où… », témoigne-t-il. Mais on ne peut pas le reprocher aux entreprises, car ce « puzzle » s’est construit peu à peu avec la montée en puissance des technologies et des modes de consommation des utilisateurs.

Aujourd’hui, la capacité à corréler ces informations, pour être ensuite capable de prendre des décisions averties, va permettre de construire un meilleur niveau de cyberdéfense. Ce qui implique d’avoir un très bon niveau de sécurité intégré au niveau des terminaux (notamment mobiles), du cloud (où un certain nombre de traitements critiques se font), et de l’accès aux réseaux (filaires ou non). Sur ce dernier point, un nouvel élément est à prendre en compte : les outils de filtrage réseaux mis en place il y a une dizaine d’années ne sont plus pertinents face aux techniques actuelles de cryptologie.

Selon l’ISTR 2017 de Symantec, la plupart des DSI évaluent à 40 le nombre d’applications cloud utilisées dans leur entreprise, alors qu’elles sont en réalité près d’un millier…

« Souvent, quand on interroge les entreprises sur leurs données sensibles, elles savent de quoi on parle, mais elles ne savent pas toujours où elles sont… » Tout ceci doit les obliger à mettre en place une classification, une catégorisation, même légère, de leurs informations sensibles pour savoir ce qu’il est possible de mettre dans le cloud, de façon à lui appliquer ensuite la même politique de sécurité que dans l’infrastructure interne. Certains fournisseurs de cloud disposent, du fait de la mutualisation des clients et des services, de niveaux de sécurité excellents sur leurs infrastructures. Mais il incombe à leurs clients de protéger leurs données et l’usage qui en est fait.

Adapter la politique de sécurité aux nouveaux usages

« Avec certains de nos outils d’audit -qui recensent 22 000 applications cloud au niveau mondial-, on peut savoir par exemple combien sont utilisées, en analysant le flux sortant de l’entreprise », indique-t-il. Et là, surprise : alors que le rapport 2017 Internet Security Threat Report (ISTR) de Symantec montre que la plupart des directeurs des systèmes d’information évaluent à 40 au maximum le nombre d’applications cloud utilisées dans leur entreprise, elles sont en réalité près d’un millier…

Au-delà de cette première phase d’audit, les solutions Symantec repèrent les applications autorisées (ou non), pour adapter et automatiser l’application des politiques de sécurité. Ceci se fait via une passerelle d’accès cloud sécurisé (ou CASB pour Cloud Access Security Broker), qui va fournir des renseignements sur le flux qu’utilise chaque application. Les questions posées : utilise-t-elle le chiffrement ? Est-elle bien ou mal sécurisée ? Cela va même jusqu’à indiquer son niveau de conformité à la nouvelle réglementation GDPR. « On précise ainsi un niveau de risque par application qui est une façon de leur donner de la valeur », résume-t-il. Le but bien sûr est de mieux maîtriser le niveau de risques en adaptant la sécurité sans pour autant contraindre les usages ni dégrader l’expérience utilisateurs. « D’où l’intérêt en plus de proposer à chaque utilisateur un portail à authentification forte d’accès à ses apps pour lui éviter d’avoir à ressaisir son identifiant… y compris lorsqu’il est en mobilité ».

« Finalement, en matière de cyber-sécurité, on se rend compte que l’entreprise a surtout subi l’histoire. Mais, à partir du moment où toutes sont devenues cyberdépendantes, il leur faut dorénavant devenir cyber-résilientes », résume-t-il. Aujourd’hui, Symantec peut travailler sur une « valorisation du risque », en le traitant, en le transférant ou en le réduisant. Ceci se fait en tenant compte de trois aspects. D’abord, la dimension humaine ; ensuite les processus, puis la technologie. « Et là, notre rôle est de fournir des technologies intégrées capables de supporter les processus mis en place, autant au niveau de la gestion du risque que de la gestion de crise », conclut-il.