TECHNOLOGIE | Cybermenaces : Comment rester serein ?

La cybercriminalité ne diminue pas. Alors, comment rester serein et éviter le burn-out chez les responsables de la sécurité ? En mettant en place une gouvernance visant à bien distribuer les rôles : sensibilisation, formation, prévention, remédiation et continuité d’activité. Puis en identifiant les données à protéger en priorité, et en préparant des scénarios de redémarrage du système d’information.

Selon le club d’experts en cybersécurité CESIN, 74 % des entreprises déclarent que le phishing (hameçonnage) est le « vecteur d’entrée principal » des cyberattaques. La deuxième menace (pour 45 % des réponses) est l’exploitation des vulnérabilités ou failles logicielles.

Au 1er trimestre 2023, douze nouvelles vulnérabilités ont été associées aux rançongiciels (ransomwares), selon le rapport « Ransomware Index Report » (Securin, Ivanti et Cyware, juin 2023). À cette date, 7 444 logiciels de 121 fournisseurs étaient exposés à des demandes de rançons. Et 52 groupes de cybercriminels dits APT (advanced persistent threats, ou menaces avancées persistantes) étaient prêts à activer ou réactiver des rançongiciels.

Ces derniers touchent les TPE, PME et ETI (40 % des rançongiciels rapportés à l’agence nationale Anssi en 2022), puis les collectivités territoriales (23 %) et les établissements publics de santé (10 %).

Autre constat : la menace d’espionnage informatique s’accentue. Près de la moitié des opérations de cyberdéfense recensées par l’agence nationale en 2022 impliquaient la Chine.

Développer « l’observabilité »

Face à cette persistance des cybermenaces, un nouveau concept a vu le jour, « l’observabilité » : « Il s’agit d’assurer une surveillance continue reposant, avec un historique, sur une analyse de tous les événements couvrant l’ensemble des serveurs d’accès et serveurs d’applications de l’entreprise », explique Emmanuel Barrier, responsable Cybersécurité et Résilience chez Kyndryl France (ex-IBM Global Technology Services).

« Un tel dispositif permet une approche prédictive de certains incidents. Cela suppose de mettre en place une gouvernance orientée vers la cybersécurité, autour d’une sorte de tour de contrôle, capable d’intervenir de façon proactive. »

Protéger les noms de domaine

En France, près de 60 % des entreprises admettent avoir été victimes d’au moins une cyberattaque ayant provoqué une fuite de données, selon une étude d’Infoblox, spécialiste en cybersécurité : « Les dispositifs de protection se renforcent mais les cybercriminels finissent par trouver comment les contourner. Ainsi, les authentifications multi-facteurs (MFA, utilisant un SMS ou e-mail) commencent à montrer leurs limites, car les pirates envoient des emails de hameçonnage (phishing) très sophistiqués ou des SMS qui demandent de changer un mot de passe ou de valider une action », explique Sonia Flambeau, directrice Europe du Sud d’Infoblox. « Les utilisateurs se connectent alors à un nom de domaine en tous points semblable à celui qu’ils connaissent et sur lequel ils vont saisir leurs identifiants. Or il suffit d’un seul utilisateur leurré pour que le cybercriminel s’infiltre et passe à l’attaque. » La protection des noms de domaine et du protocole de communication DNS (domain name service) est en cause ici, car 92 % des malwares exploitent ce protocole. En 2022, Infoblox a détecté plus de 1 600 noms de domaine factices, copies conformes (des lookalike), associés à des systèmes d’authentification multi-facteurs. Le phénomène est en expansion !

L’IA pour mieux gérer les droits d’accès

« Tous les événements suspects doivent être repérés », insiste Patrick Sena, expert sécurité chez SailPoint France, éditeur d’une solution de gestion des identités informatiques, dans laquelle un moteur d’intelligence artificielle (IA) recense et décortique les droits d’accès accordés aux collaborateurs.
Un algorithme établit des typologies d’utilisateurs (métier, comptabilité, RH, ventes, etc.) ; il est alors capable de désigner les profils à risques.
« Plus l’utilisateur détient d’accès, plus il peut susciter l’intérêt des cyberpirates. Il faut donc supprimer les accès privilégiés non nécessaires. »

Trois lignes de défense

Idéalement, trois niveaux de défense doivent être mis en place : une équipe opérationnelle en charge de l’infrastructure, responsable, au quotidien, de la bonne application des procédures de sécurité, des mots de passe, des mises à jour logicielles orientées sécurité (« patchs »).

En deuxième ligne de défense, une équipe de sécurité du système d’information, indépendante de la première, doit s’assurer que les opérations de protection préventive ont été réalisées correctement : elle vérifie que les correctifs logiciels (« patchs ») sont à jour ; elle réalise des « scans » de vulnérabilité et contrôle la résilience des systèmes.

La troisième ligne de défense est celle qui audite l’organisation ; elle recense l’ensemble des risques, contrôle les deux premiers niveaux de défense, et rapporte à la direction générale.

« Ainsi, chacun travaille sur son périmètre, dans la transparence ; et la confiance réciproque n’exclut pas le contrôle », souligne Laurent Gelu, responsable Zero trust (Cybersécurité) au sein de Kyndryl France.

Si l’entreprise est petite, les deux premiers niveaux peuvent être fusionnés auprès du responsable d’infrastructure du système d’information (CTO). Et une partie des missions du niveau 3 peut être confiée à un prestataire. « Mais attention, avertit Emmanuel Barrier, l’entreprise ne doit pas se départir de la gestion de risques, qui reste un domaine essentiel. »

Un prestataire sécurité IT peut proposer du conseil en organisation, une évaluation des risques et des vulnérabilités, une priorisation des investissements, mais également des « services managés », le déploiement de solutions techniques, etc.

De même, la fonction de security risk manager peut être assurée par une société spécialisée. « À elle de vérifier que le plan d’assurance sécurité est opérationnel et conforme à la réglementation, et de faire la passerelle avec les équipes de l’informatique. »

Mieux travailler ensemble

La question des relations hiérarchiques se pose souvent. Ainsi, la première ligne doit accepter d’être contrôlée. Or, souvent, elle est constituée des plus anciens dans l’organisation. Il faut donc apprendre à travailler ensemble…

La deuxième ligne peut avoir la mission de trouver des fonds, donc des sponsors en interne, ancrés autant que possible dans le métier et motivés par les projets. « Cela suppose une bonne cohésion entre le CIO (ou DSI), le CTO (infrastructure) et le CISO (sécurité). Commencez par vous mettre d’accord avant de porter les projets à la direction », recommande Emmanuel Barrier (Kyndryl France).

Autre point clé : ce travail de cohésion en équipe doit absolument inclure le métier : « Disposer d’un champion de sécurité IT facilite les choses, un BISO (Business information security officer), qui va agir comme un correspondant. »

Jean-Noël de Galzain,

FONDATEUR DE WALLIX

« LES FUITES DE DONNÉES CONTINUENT D’AUGMENTER »

« Nous constatons plus de fraudes bancaires, plus de fraudes au président (ordres de virement détournés, etc.), plus de détournements de noms de domaine (DNS), plus d’attaques contre des institutions, des médias… et contre des équipements hospitaliers, etc. », observe Jean-Noël de Galzain, fondateur et président de Wallix, société experte en sécurité informatique, qui accompagne 2 000 organisations dans le monde. Elle vient d’acquérir Kleverware, spécialiste français de la gouvernance des identités et des accès.
« Les fuites de données continuent d’augmenter car les entreprises ont tendance à externaliser certaines tâches. Résultat : la cybercriminalité est devenue la troisième plus grande menace dans le monde. »

À la suite d’une cyberattaque, les entreprises mettent plusieurs semaines voire plusieurs mois à s’en remettre. Prévention et prédictibilité sont donc devenues essentielles.

Pour se protéger, il est fréquent de faire appel à un spécialiste. C’est de plus en plus le cas pour la gestion des identités et des accès avec, par exemple, la solution Wallix IGA (identification et authentification) ou PAM for all (privileged access management, avec protection des mots de passe, traçabilité, etc.).

« Où qu’ils se trouvent, les utilisateurs doivent pouvoir se connecter au système d’information grâce à un accès très sécurisé ; ils sont reconnus, authentifiés, et ils accèdent alors à tout leur environnement de travail sans avoir à connaitre les mots de passe. Le process est automatisé. »

Plan de continuité

Au cœur du dispositif, la data doit être assurée d’une protection maximale, non seulement en interne mais également auprès des partenaires, clients ou fournisseurs, sous-traitants. Le principe de « zero trust » (confiance zéro) s’applique à tous.

Il faut procéder à une cartographie des risques : qu’est-ce qui peut se passer en cas d’attaque par ransomware avec chiffrement de données ? Quels seraient les impacts ? Il faut identifier les applications prioritaires, avec le taux de disponibilité nécessaire, dans l’hypothèse d’un redémarrage après interruption, jusqu’au retour à la normale. Et, avant de redémarrer, il faudra s’assurer que toutes les données récupérées sont saines…

« Quoi qu’on fasse, incidents et attaques surviendront un jour. Il faut donc travailler en sorte que l’impact soit le plus minime possible », résume Emmanuel Barrier.