Temps de lecture : 8 minutes
Découvrez le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux projets de dématérialisation et de transformation numérique !
Sommaire du dossier :
- Cybersécurité : les bonnes pratiques et outils pour protéger votre organisation
- Dans la peau des hackers : rencontre avec deux pirates informatiques engagés
- Face à la cybercriminalité, adoptez une hygiène numérique !
- Cybersécurité : misez sur des outils certifiés et qualifiés de confiance !
Airbus occupe la place enviée de premier fabricant mondial d’avions de ligne avec plus de la moitié d’aéronefs produits à l’échelle internationale. Sans surprise, ce qui devait arriver arriva. Le fleuron européen de l’aéronautique est la cible régulière d’attaques informatiques en tous genres.
En 2019, l’avionneur a fait l’objet de cyberattaques menées sur un mode opératoire original. Plutôt que de viser directement les systèmes d’information d’Airbus, réputés pour leur robustesse, les attaquants ont ciblé le réseau privé virtuel (VPN) des sous-traitants qui était commun à celui de l’avionneur. Il ne leur restait plus qu’à se faire passer pour les sous-traitants et entrer dans le réseau du constructeur et accéder aux dossiers stratégiques d’Airbus.
Comme on pouvait s’y attendre, la Chine fut rapidement désignée comme l’autrice de cette attaque. Pékin cherche en effet à développer sa propre flotte d’avions et ravir des parts de marché au constructeur européen. Mais les spécialistes se montrent plus circonspects car ils savent qu’il est difficile d’attribuer avec certitude une cyberattaque à une entité précise.
> Lire aussi : Cybercriminalité : comment réagir en cas de ransomware ?
369 incidents de sécurité dans le domaine de la santé
Le secteur industriel n’est pas le seul à subir de telles attaques. En 2020, le centre hospitalier de Dax dans les Landes, le groupement hospitalier de territoire de Dordogne ou encore l’hôpital de Villefranche-sur-Saône dans le Rhône ont également été visés.
Le mode opératoire est désormais bien identifié et particulièrement cynique : les pirates s’infiltrent dans le système informatique de l’établissement de santé et cryptent l’ensemble des données. Les dossiers médicaux deviennent indéchiffrables. Les cybercriminels demandent alors aux établissements hospitaliers de verser une rançon pour pouvoir accéder à leurs données…
Pour la seule année 2020 — celle du Covid-19 —, 369 incidents de sécurité ont été recensés par l’Agence numérique de santé. Précision importante : une partie de ces incidents est causée par de « simples » dysfonctionnements informatiques. Mais la majorité d’entre eux (60 %) ont une origine malveillante (contre 43 % en 2019 et 41 % en 2018).
> Lire aussi : Cybersécurité : sept régions se lancent dans le programme de l’Anssi
Une cybersécurité collective et collaborative
Face à l’ampleur du fléau, les entreprises et les administrations peuvent faire appel à une multitude de solutions qui reposent de plus en plus sur l’intelligence artificielle. Celles-ci ont été exposées du 7 au 9 septembre dernier à Lille lors du Forum international de la cybersécurité. Plus de 12 000 participants — dont 2 500 visiteurs étrangers — se sont retrouvés pour faire le point sur les menaces en cours. L’édition 2021 du FIC portera sur un thème particulièrement prometteur : « Pour une cybersécurité collective et collaborative ! »
Entreprises, hôpitaux et collectivités ont pu y trouver ce qui manque à leur panoplie. Car les municipalités ne sont pas épargnées, comme en témoignent les cyberattaques qui ont récemment visé les villes d’Angers, de Chalon-sur-Saône et de Villecresnes (Val-de-Marne).
> Lire aussi : Sénat : un rapport sur la cybersécurité au sein des collectivités territoriales
« l’IA offre une connaissance avancée des menaces »
Étienne de Séréville est officier central de sécurité chez IBM France, en charge des relations institutionnelles cyber.
Le cloud est-il un facteur de risque en matière de cybersécurité ?
Le cloud, qu’il soit privé ou public, interne ou externe, est un ensemble de technologies qu’il faut maîtriser tant lors de sa conception que pendant son exploitation, comme toutes autres technologies numériques. « Secure by design » et durcis pour la défense en profondeur, surveillé et maintenu en continu avec des moyens adéquats comme la bonne gestion des identités et des accès ainsi que la protection des données via des moyens tels que le chiffrement et la maîtrise des clés, adaptés aux risques, le cloud n’est pas un facteur de risque spécifique pour la cybersécurité.
D’autre part, en cas d’incident, grâce à sa flexibilité, sa rapidité de mise en œuvre et la puissance disponible, le cloud permet une reconstruction rapide des environnements impactés pour une restauration efficace au profit des métiers des organisations — à condition que les sauvegardes soient correctement et très régulièrement faites ainsi que testées.
> Lire aussi : EY : enquête mondiale sur la sécurité de l’information 2021
Quel est l’apport de l’intelligence artificielle dans la lutte contre la cybercriminalité ?
Par les capacités d’apprentissage et de traitement de l’IA, les apports sont nombreux : sur les capacités de détection d’incident, l’IA est une aide essentielle aux analystes dans les centres opérationnels par l’analyse des flux et des signaux faibles d’attaques, leur corrélation, et aussi pour limiter les faux positifs très consommateurs de temps et d’énergie.
Sur les capacités de réponse à incident, l’IA fournit parmi de très grandes quantités de données des renseignements pertinents pour traiter l’incident, gagnant ainsi un temps précieux pour le confinement, la remédiation et la restauration des services impactés.
Sur les capacités de prévention-protection, l’IA a un rôle pour la connaissance avancée des menaces afin d’adapter la sécurité en conséquence (« kill chain »), et puis pour dénicher et classer par criticité les vulnérabilités dans les systèmes d’informations nombreux et complexes de nos organisations.
> Lire aussi : Cybermenaces : comment lutter contre les ransomwares en toute légalité ?
Comment impliquer les collaborateurs, notamment ceux qui sont en charge de la gestion de l’information, dans la lutte contre la cybercriminalité ?
Impliquer nécessite connaissance et volonté. La sensibilisation, la formation et l’expérience restent les premiers moyens pour impliquer les gestionnaires de l’information dans la lutte contre la cybercriminalité. Puis par la volonté, ils vont mobiliser leur curiosité, leur intelligence des situations et leur bon sens pour s’interroger à bon escient : quelle est la valeur de l’information que je gère pour mon organisation, quels sont les risques cybercriminels possibles, comment les identifier dans ma mission, quelles sont les menaces (phishing…) qui pèsent dessus et comment les repérer…
Voilà les questions que ces personnes doivent se poser et auxquelles elles doivent savoir répondre au quotidien. D’autre part, des moyens de gratification peuvent contribuer à l’implication des équipes, comme les programmes de bug bounty (programme qui offre des récompenses aux personnes qui découvrent des vulnérabilités), de debuging ou autre initiative innovante, bien cadrés du fait de leur sensibilité.
> Lire aussi : 80 % des entreprises craignent une fuite de données dans les 12 prochains mois
Arnaud Deschavanne : « il faut mettre en place une démarche d’analyse de risque »
Arnaud Deschavanne est associate partner de Magellan Consulting, cabinet de conseil en stratégie, management et système d’information.
Comment anticiper les cyberattaques ?
Il faut tout d’abord mettre en place, au niveau des décideurs, une démarche d’analyse de risque, c’est-à-dire définir ce qui est stratégique, important, et identifier les risques qui ne sont pas acceptables et qu’il faudra couvrir par des mécanismes de protection ou de détection. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié un excellent guide d’hygiène qui s’applique pour tout type de structure, cela reste un excellent point de départ pour se poser les bonnes questions.
Quelques fondamentaux sont à respecter et ce n’est encore pas toujours le cas :
- Gestion des identités : il faudrait supprimer les comptes inactifs, avoir une politique de mot de passe satisfaisante au lieu de mots de passe triviaux sous le format nom, prénom, année, etc., et activer l’authentification forte, avec un smartphone par exemple, pour tous les sujets sensibles (administration, finance, accès VPN) ;
- Gestion des mises à jour de sécurité (patch management des postes de travail, serveurs, équipement réseau) ;
- Filtrage des accès (firewalls) et mise en place du « besoin d’en connaître » pour limiter les accès aux données (partages réseau) ;
- Apporter un point d’attention particulier à la gestion des sauvegardes : s’assurer que les backups sont correctement effectués et que l’on dispose au moins d’une sauvegarde offline (non connectée ou indépendante du reste du système d’information pour reconstruire en cas de compromission de type ransomware) ;
- Disposer de solution de protection sur les postes de travail («endpoint detection and response», EDR) pour détecter au plus tôt les compromissions initiales et les traiter rapidement.
Enfin, un accompagnement proposé par des cabinets spécialisés reste généralement très utile pour permettre d’identifier les chantiers prioritaires via un audit de maturité incluant des tests d’intrusion. De nombreux clients nous sollicitent pour ce type de prestation en vue de construire leur feuille de route cybersécurité à 3 ans.
> Lire aussi : Le métier de responsable sécurité des systèmes d’information (RSSI) : missions, compétences, formation et salaire
Comment impliquer les collaborateurs, notamment ceux qui sont en charge de la gestion de l’information, dans la lutte contre la cybercriminalité ?
Aujourd’hui, on retrouve de nombreuses manières d’impliquer les collaborateurs : charte informatique, campagne de sensibilisation avec des démonstrations (ciblées pour les administrateurs, les développeurs), campagnes de phishing pour l’ensemble des collaborateurs. L’Anssi propose également un Mooc. Il faut bien comprendre que de nombreux acteurs voyaient la sécurité comme un frein, et qu’aujourd’hui cela peut être un « business enabler » si l’on montre à ses clients ou ses prospects que le sujet sécurité est correctement maîtrisé. Pour aller plus loin, les cabinets spécialisés en cybersécurité peuvent proposer des sessions de sensibilisation personnalisées, avec un suivi dans le temps.
> Lire aussi : La Commission européenne annonce la création d’une unité conjointe de cybersécurité au sein de l’UE
Quelles solutions choisir pour se prémunir contre ces attaques ?
Il n’y a pas de solution miracle. Si c’était aussi simple, le sujet cybersécurité ne serait plus d’actualité. Je pense qu’il y a cependant un sujet lié au budget : de nombreuses entreprises n’ont pas investi dans la cybersécurité et ont désormais un retard à rattraper, que ce soit sur l’organisation de la filière, la sensibilisation, la préparation aux crises cyber, ou la gestion des mécanismes de protection et de détection.
Il est compliqué avec toute la bonne volonté d’assurer un niveau de sécurité satisfaisant en allouant moins de 10 % de son sujet IT à la cybersécurité, mais malheureusement de nombreuses entreprises n’ont pas fait ce pas et attendent encore de subir un incident avant d’y consacrer un budget significatif. Pourtant, le coût de reconstruction post-incident est systématiquement bien plus onéreux et dans un tout autre ordre de grandeur que le coût de la préparation et de l’anticipation à la crise.