La cybersécurité, l’affaire de tous en entreprise


Share Button

cybersécurité - ORSYS

Par la Rédaction ORSYS

Pour faire face à la multiplication des menaces, les fournisseurs de solutions de sécurité font appel à l’Intelligence Artificielle (IA). Les parades sont aussi organisationnelles et tous les collaborateurs doivent être sensibilisés aux cyber-risques.

 

Les récentes failles de sécurité chez Facebook et Google montrent qu’aucune organisation n’est à l’abri des pirates informatiques. Si les GAFA, avec leurs ressources infinies aussi bien technologiques que financières, ne peuvent se prémunir des cyber-attaques dont ils font l’objet, on imagine les entreprises lambda autrement plus vulnérables.

Selon une étude du Cesin, le club des experts de la sécurité de l’information et du numérique, 92% des sociétés interrogées reconnaissent avoir fait l’objet d’attaques à plusieurs reprises avec une forte augmentation des tentatives d’intrusion en un an. La question n’est plus de savoir si une entreprise subira une attaque mais quand elle se produira.

Un rapport, dressé par les instituts européens d’audit interne membres de l’ECIIA, place la cybersécurité en tête des risques qui menacent l’entreprise. Le risque est aussi financier. Entré en vigueur le 25 mai 2018, le RGPD fait aussi de la protection des données sensibles un enjeu d’entreprise avec un niveau de sanction jamais égalé. En cas de violation de données, l’autorité de contrôle – la CNIL en France – peut prononcer des amendes. Elles peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global. Et elles retiennent le montant le plus élevé des deux.

Les nouveaux risques

Les sociétés doivent non seulement faire face à une multiplication des menaces mais aussi à une complexification. Au-delà des « traditionnels » vols d’information, attaques en déni de service et autres défigurations de site Web, sont apparus de nouveaux fléaux. En 2017, les logiciels malveillants WannaCry et NotPetya infectaientt des grands comptes comme Renault, Auchan et Saint-Gobain. Ils ont fait connaître au plus grand nombre le principe du ransomware ou rançongiciel. Les pirates chiffrent un fichier ou une base de données puis exigent une rançon en Bitcoins ou via PayPal pour le déverrouiller. Après avoir démarré sur les serveurs et les postes de travail, les ransomwares s’attaquent aux Smartphones et aux objets connectés.

Autre menace qui est montée en puissance ces derniers mois, le cryptomining.  Il consiste à utiliser la puissance de calcul d’ordinateurs ou de serveurs pour effectuer le travail de minage. Travail nécessaire à l’extraction de crypto-monnaies de type Bitcoin. Les machines « chauffent » inutilement, consomment davantage de bande passante et d’électricité et vieillissent prématurément.

L’essor de l’Internet des objets expose également les entreprises à de nouveaux risques. Le malware Mirai et ses variantes permettent de constituer des botnets d’objets connectés zombies. Et cela pour lancer des attaques massives en déni de service. Plus largement, tout dispositif contenant un composant numérique est potentiellement « hackable ».  La prise de contrôle à distance d’une voiture connectée l’a montré .

La protection de type château fort a vécu

Face à ces menaces protéiformes, les antivirus, les anti-malwares et autres pare-feu, reposant sur des bases de signatures connues, montrent leurs limites. Avec l’analyse comportementale, de nouveaux dispositifs placent les fichiers suspects dans un environnement sécurisé (bac à sable) pour étudier leur évolution.

La généralisation du Cloud fait aussi voler en éclat les modèles habituels de protection de type château fort. Les entreprises complètent leur panoplie en ajoutant une brique dite de Cloud access security broker (CASB). Cela permet de protéger leurs données dans le nuage. Des points de concentration sont placés entre les utilisateurs et les services de Cloud. Ils permettent d’appliquer les politiques de sécurité maison (authentification, droits d’accès, chiffrement…).

Ces dernières années, les fournisseurs en sécurité informatique ont aussi changé de paradigme. Ils capitalisent sur les apports de l’Intelligence Artificielle. Il ne s’agit plus de détecter une menace en la comparant à une base de signatures. Mais de s’appuyer sur les mécanismes d’auto-apprentissage du Machine Learning et du Deep Learning.

Par une approche statistique, le modèle algorithmique établit un score de confiance à un fichier en le regardant sous toutes les coutures. Les éditeurs spécialisés estiment qu’ils étaient ainsi en mesure de stopper WannaCry avant même que la menace soit connue (zero day). Les dispositifs dopés à l’IA peuvent aussi traiter en temps réel un flux réseau, établir des corrélations et effectuer une première qualification des incidents. Cela permet de décharger le travail des analystes dits de premier niveau des tâches ingrates de supervision.

 L’homme, le bug des politiques de sécurité

La parade est aussi organisationnelle. Une entreprise doit se préparer au pire et simuler différents scénarios d’attaques pour être prête le jour J. Au travers d’audits de vulnérabilité et de tests d’intrusion, il s’agit d’éprouver la chaîne de coordination – qui fait quoi en cas de sinistre – et le plan de reprise d’activité (PRA). L’entreprise doit aussi se mettre en conformité avec un cadre réglementaire. Il se densifie entre la loi de Programmation Militaire en France, la directive européenne NIS (Network and Information Security) et le RGPD. Avec le principe de « privacy by design » introduit par le RGPD, la protection des données personnelles doit être prise en compte dès la conception d’une base de données ou d’une application.

Ces process sont toutefois portés par des hommes et ces derniers constituent le maillon faible d’une politique de cybersécurité. Largement pratiquées par les hackers, les techniques dites d’« ingénierie sociale » exploitent les failles humaines. Ils soutirent des mots de passe et usurper les identités. Introduire une clé USB inconnue sans la scanner préalablement ou ouvrir la pièce jointe infectée d’un mail suffit à créer une porte dérobée.

Les solutions

Il convient donc de sensibiliser l’ensemble des collaborateurs et de rappeler régulièrement les principes d’hygiène élémentaires. Par exemple choisir un mot de passe fort et en changer régulièrement, ou verrouiller automatiquement son écran avant de s’absenter. À cet effet, la plateforme cybermalveillance.gouv.fr, dispositif d’assistance aux victimes de cyberattaques, a mis en ligne un kit de sensibilisation portant sur les mots de passe, les usages professionnels-personnels, les appareils mobiles et l’hameçonnage.

Mais plutôt que de véhiculer des messages anxiogènes, les experts conseillent de faire appel à des nouvelles approches. Un Serious Game permet de mettre le collaborateur en situation tout en gardant une dimension ludique. Dans le même esprit, lancer une opération de faux phishing invitant les salariés à cliquer sur un lien vérolé permet de déceler les comportements à risques et de rappeler quelques règles de base.

 

Alors, formez-vous !

Parcours « Les bases de la cybersécurité »

Cybersécurité, sensibilisation des utilisateurs

Cybersécurité réseaux/Internet, synthèse

Sensibilisation à la cybersécurité (e-learning)

Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *