D’ailleurs, il ne faudrait plus parler de cybersécurité, mais de cyberrésilience. Le terme est en vogue depuis un certain temps déjà et reflète bien le sentiment de changement.
En effet, il ne s’agit pas uniquement de sécurité, mais tout autant de capacité de réaction face à un incident. C’est d’ailleurs sur ce thème de la cyberrésilience qu’ADM et le MIT Club ont réuni récemment 150 CIO et CISO dans les bâtiments de la Fédération royale belge de Football à Tubize. Preuve s’il en est que le thème est plus que jamais à l’ordre du jour.
Tout comme la cigarette
Miguel De Bruycker, directeur général du Centre pour la Cybersécurité Belgique (CCB), a propagé la bonne nouvelle : la Belgique figure parmi les meilleurs élèves de la classe européenne en matière de cybersécurité. Et sur le plan international également, le classement NCSI (National Cybersecurity Index) place notre pays dans le top 3. Pourtant, pas question de pavoiser car la cybercriminalité est en hausse constante. Une solution triviale peut pourtant éviter pas mal de problèmes : l’authentification multifacteur (MFA).
« Le comportement en ligne sans protection est comme la cigarette, estime Miguel De Bruycker. Les gens connaissent les risques qui y sont associés, mais continuent néanmoins. » Une enquête du CCB fait apparaître que 80% des Belges savent ce qu’est la MFA et comment elle fonctionne. Pourtant, 53% ne l’adoptent pas. « C’est le même constat dans les entreprises. Il y a toujours une personne qui considère que la MFA n’est pas nécessaire. » Or c’est précisément cette même personne qui constitue le maillon faible pour les pirates.
La VAR en action
« Nous gérons de très nombreuses données sensibles, comme l’analyse vidéo de matches et les données sur les performances individuelles des Diables Rouges », fait remarquer Arnaud Lieutenant, CIO de la Fédération belge de Football. Un accès non autorisé à ces données aurait un impact majeur, par exemple sur la stratégie de l’adversaire. Mais dans le même temps, la Fédération de football ne peut se passer de la technologie dans son fonctionnement au quotidien. C’est ainsi que ses plateformes gèrent les données de ses 550.000 membres et 3.600 clubs affiliés, soit un peu moins d’un demi-million de matchs par saison.
Au départ de son siège de Tubize, la fédération assure également la VAR (Video Assistant Referee) durant les compétitions de la première division.« La VAR aide l’arbitre à prendre la bonne décision, ajoute Kurt Baetens, CISO. La communication entre la VAR et le terrain doit être parfaitement sécurisée. »Car supposons qu’un pirate intercepte la liaison et présente à l’arbitre d’autres images falsifiées… Même l’illusion d’une manipulation de la VAR – même si tel n’était pas le cas – pourrait déboucher sur une crise de confiance. Mais Kurt Baetens se veut rassurant : « Nous avons un plan au cas où quelque chose tournerait mal. »
Priorité à la résilience
Il est donc évident que la sécurité exige des efforts permanents. Mais la cybersécurité seule – la sécurité en somme – ne suffit pas. « Les entreprises investissent certes déjà beaucoup dans la sécurité, mais encore trop peu dans la résilience, estime Raf Peeters, VP Cybersecurity & Cloud chez Proximus NXT. Alors que la résilience est tout aussi importante. En cas d’incident, il ne faut pas succomber à la panique et être capable de rebondir le plus rapidement possible. »
Reste qu’il faut alors investir davantage – et ce n’est jamais suffisant –, un message difficile à faire passer au conseil d’administration. « C’est la réalité, insiste Johan Guelluy, CIO d’Acerta. Mais si vous êtes transparent sur ce qui est absolument non négociable, la direction vous suivra. » Pour l’entreprise, tout est en effet une question d’équilibre. « La sécurité est un compromis entre risque et budget, enchaîne Luc Verhelst, président d’honneur du MIT-Club. Et il appartient au CEO de décider quel équilibre est acceptable. »
« Une crise cyber est une crise de leadership qui dépasse largement le département IT. »
« Cette question ne s’aborde d’ailleurs d’un point de vue technologique, considère Bart Asnot, National Security Officer chez Microsoft Belgique. Il s’agit d’évaluer le risque acceptable en fonction de l’innovation. » Il convient de remarquer à cet égard que la culture de la sécurité n’évolue pas au même rythme que celle de l’innovation. « Les abus continuent à augmenter, poursuit Bart Asnot. Et l’utilisateur demeure, aux yeux du pirate, la meilleure option pour pénétrer un système. Car au niveau de l’innovation, l’attention portée à l’expérience utilisateur reste toujours trop faible. »
Pas de panique
En cas de problème, il importe d’agir le plus rapidement possible. « Une crise cyber est une crise de leadership, considère Marc Vael, Chief Digital Trust Officer chez Esko. Il ne s’agit pas d’un événement ou d’un incident, mais d’une question qui dépasse largement l’IT. » Pourtant, l’ensemble de l’entreprise se tourne très rapidement vers le CIO. Celui-ci a donc tout intérêt à être bien préparé. « Un bon CIO ne panique pas. En cas de crise cyber, le CIO est le chef d’orchestre qui indique ce qu’il faut faire. »Les premières 24 heures sont en l’occurrence cruciales pour identifier l’origine du problème, les premières cibles, etc.
Ce chef d’orchestre met sur pied une ‘war room’ et active le plan de gestion de crise. « Mais il faut évidemment que ce plan soit disponible, fait remarquer Marc Vael. Avec des flux de travail pour les différents scénarios. Ce faisant, on limite l’improvisation. » En l’espèce, la communication demeure à chaque fois d’une importance vitale. « Mettez en place une hotline interne que vos collaborateurs peuvent contacter en cas de question. Mais prévoyez aussi un point de contact externe pour les clients, les fournisseurs et les services publics. Ces éléments doivent également être préparés à l’avance, ce qui évite de devoir chercher sur le moment la manière d’établir une telle communication. »
Tirer les leçons
Il est évidemment important de limiter les dégâts tout en récoltant les preuves d’attaque. « Notifiez la crise au CCB et activez votre police d’assurance cyber », recommande encore Marc Vael. Et à nouveau : restez calme. « Débrancher tous les câbles et éteindre les serveurs ? Ce n’est pas toujours la meilleure solution. » Rétablir au plus vite la sauvegarde, alors ? « Êtes-vous vraiment certain que la sauvegarde est correcte ? Voulez-vous la réinstaller sur les mêmes serveurs ? Et il y a encore pas mal de questions qu’il faut de préférence trancher au préalable. « Un plus grand nombre d’outils ne permet pas forcément d’obtenir une solution plus rapide. Davantage de log-ins ? Le risque est que la meule de foin ne fasse que grandir sans garantie d’y retrouver l’épingle. »
Autre aspect au moins tout aussi important : tirer les leçons une fois la crise terminée. « Consultez les rapports d’audit et appliquez les points d’amélioration, poursuit Marc Vael. Et pas seulement les passages indiqués en rouge, mais aussi ceux en noir, ceux où l’entreprise affiche les moins bons scores. » Une partie de la solution consiste par ailleurs à répartir les risques, comme l’a montré la crise du CrowdStrike en juillet 2024 : les entreprises qui utilisaient également une autre technologie de sécurité ont été sauvées, alors que celles qui avaient tout consolidé sur une seule technologie ont été irrémédiablement perdues.
Et quid en cas d’attaque par rançongiciel ? Payer la rançon ou pas ? « Payer n’est pas une bonne option, affirme Marc Vael. À peine 20% des entreprises qui ont versé la rançon ont récupéré totalement leurs données. En outre, payer n’est pas vraiment nécessaire si vous êtes bien préparés. » Pour ce faire, il faut par exemple appliquer la règle du 3-2-1 : 3 sauvegardes sur 2 technologies différentes, dont 1 copie hors site, en testant régulièrement les 3 copies.
Plus que des gaufres et du chocolat
L’IA peut-elle être une solution pour améliorer le niveau de sécurité et de résilience ? Assurément, dans la mesure où l’IA permet de détecter et de résoudre plus rapidement d’éventuels incidents. Par ailleurs, les autorités interviennent avec des législations qui incitent à intensifier les efforts en cybersécurité. « Cette législation est vraiment utile, confirme Raf Peeters. Certes, elle exige pas mal de préparation, mais il faut s’y conformer. » Le fait que la Belgique soit le premier pays de l’UE à appliquer NIS2 représente à cet égard un adjuvant important. « Il faudrait positionner la Belgique encore plus comme un pays qui fait de la sécurité une priorité, conclut Raf Peeters, afin que le monde associe notre pays non seulement avec les gaufres et le chocolat, mais aussi avec la cybersécurité. »