Savez-vous ce qu’une cyberattaque peut coûter à votre entreprise?

Carlo Werbrouck, directeur technique d'Orange Cyberdefense

La cybersécurité a beau être clairement à l’agenda IT, il reste encore pas mal de pain sur la planche. Ainsi, l’informaticien moyen ne se considère en tout cas pas comme un risque de sécurité, comme le montre une enquête menée par Data News et Orange Cyberdefense.

Dans le cadre d’une enquête en ligne, Data News et Orange Cyberdefense ont abordé différents aspects de la sécurité IT, dont son degré de maturité, l’approche pratique ainsi que le niveau de sensibilisation dans l’entreprise et parmi certains profils spécifiques. Un peu plus de 400 répondants ont participé à l’enquête. Environ 6 sur 10 sont des profils métier, tandis que 3 sur 10 sont des CIO, des directeurs IT et d’autres informaticiens. Les répondants se répartissent de manière équilibrée dans la majorité des secteurs: construction, finances, santé, industrie, pouvoirs publics, IT, etc. Les constatations les plus marquantes ont été soumises à un panel durant une table ronde virtuelle réunissant plusieurs CIO et CISO (chief information security officer) expérimentés.

Selon l’enquête, 1 collaborateur sur 3 ne connaît pas la politique de sécurité IT de son organisation. Lors de son engagement, le collaborateur se voit certes signer un document, mais cela ne suffit manifestement pas. “Cela montre en tout cas que les risques liés à la sécurité IT doivent être abordés sous un angle métier et non pas par le département IT”, estime Emmanuel David, directeur technique d’Orange Cyberdefense. La mise en place d’une politique de sécurité n’a rien d’évident, surtout pour un public de généralistes non liés à l’IT. Voilà qui démontre qu’il existe encore toujours un fossé entre le métier et l’IT.”

Formation

“Chez nous, chaque nouveau collaborateur doit être au courant de la politique de sécurité, ajoute Carlo Werbrouck, CISO auprès de la compagnie d’assurances P&V. Nous rafraîchissons leurs connaissances dans le cadre de campagnes de sensibilisation associés à la ‘gamification’. Cela aide à garder la politique présente à l’esprit.” L’entreprise chimique Tessenderlo a donné à ses collaborateurs une formation en sécurité – en partie en ligne, en partie par la ludification. “L’objectif était d’apprendre aux collaborateurs comment reconnaître l’hameçonnage, précise Tycho Reniers, CISO chez Tessenderlo. Chez nous, chaque collaborateur reçoit d’ailleurs une formation à la cybersécurité, même celui qui travaille avec l’OT [technologie opérationnelle, NDLR].”

La formation – notamment sur les risques de l’hameçonnage – n’est pas un luxe superflu, comme l’enquête le montre. “Durant le premier confinement, nous avons demandé aux entreprises de nous transmettre les messages d’hameçonnage interceptés, explique Miguel De Bruycker, directeur du Centre pour la Cybersécurité Belgique, lequel est sous l’autorité du Premier ministre et gère notamment le Computer Emergency Response Team (CERT) national. Nous avons reçu jusqu’à 10.000 messages par jour. Dans la foulée, nous avons demandé aux fournisseurs de bloquer ces liens.”

Connaissance de soi et hygiène de base

La majorité des incidents de sécurité s’expliquent par une absence d’hygiène de base, par exemple les entreprises qui ne mettent pas en place un réseau ségrégé ou des gestionnaires de réseau qui utilisent des mots de passe faibles. “Les informaticiens sont souvent les mauvais élèves de la classe, considère Miguel De Bruycker. Ils ont accès à toutes sortes de systèmes, mais ne se contrôlent pas eux-mêmes. Du coup, ils sont la cible privilégiée des cybercriminels.” C’est d’ailleurs à ce niveau que l’enquête révèle un point faible: beaucoup estiment encore manifestement que c’est ‘l’autre’ qui peut se faire prendre par des cybercriminels.

Par ailleurs, plus de 60% des répondants qualifient leur connaissance de la sécurité IT de ‘bonne’ à ‘excellente’, tandis que 2 sur 10 ont des ‘notions’ et qu’environ 15% ont des connaissances insuffisantes, voire totalement nulles. Le fait qu’autant de collaborateurs dans un large éventail de secteurs – tant dans le métier que l’IT – se montrent à ce point confiants dans leurs connaissances de la cybersécurité donne à tout le moins à réfléchir. En effet, celui qui surestime ses connaissances représente lui-même un risque de sécurité.

Le CIO et le CISO ne peuvent tout faire seuls

La désignation d’un CIO – aux côtés d’un CIO – peut-elle améliorer la situation? Parmi les entreprises qui ont participé à l’enquête, 6 sur 10 emploient un CISO. Dans les autres, la responsabilité de la sécurité est souvent confiée au CIO. “La première ligne de défense est du ressort du CIO, indique Kurt de Ruwe, CIO de Signify, l’ancienne Philips Lighting. La deuxième ligne – à savoir la sécurité d’entreprise – est de la responsabilité du CISO.” En pratique, les entreprises désignent aussi souvent un CISO lorsqu’elles veulent améliorer leur gouvernance IT.

Par ailleurs, deux tiers des répondants font appel à des partenaires extérieurs en sécurité, en justifiant ce choix par la difficulté de trouver rapidement les bons profils spécialisés sur le marché de l’emploi. Et les conserver apparaît comme un défi plus grand encore. Dans ce cas, un partenaire externe est plus pratique. De même, la complexité croissance de l’IT – et de la sécurité IT – incitent les entreprises à se tourner vers des acteurs spécialisés. “Certaines solutions sont impossibles à concevoir en interne, considère Tycho Reniers. Dans ce cas, mieux vaut sans doute s’adresser à un partenaire extérieur.”

Le fait que ces derniers mois et années, la presse se soit fait l’écho de nombreux incidents de sécurité – même dans de grandes entreprises – a provoqué une prise de conscience plus importante au niveau de la direction générale tout en entretenant l’idée qu’il n’est pas possible de vouloir tout gérer soi-même. “Nous avons lancé en interne le SIEM [Security Information & Event Management], explique Carlo Werbrouck. Mais construire en interne son propre SOC [Security Operations Center] paraissait mission impossible. C’est pourquoi nous nous sommes tournés vers Orange Cyberdefense.”

Calcul d’impact

Par ailleurs, les entreprises souscrivent de plus en plus des assurances contre les risques d’un cyberincident. Mais les assureurs ne couvrent pas tout et n’importe quoi. En pratique, ils veulent souvent avoir une vue détaillée sur la manière dont l’entreprise organise sa sécurité.

Si la sécurité est une chose, évaluer le risque – et son impact potentiel – est une autre affaire. Ainsi, 6 répondants sur 10 ne savent pas comment calculer cet impact. Or comment justifier alors les investissements en sécurité auprès de la direction générale?

“Il faut travailler avec des KPI concrets et les présenter en comité de direction, explique Patrick Putman, CIO de Manuchar, trader et distributeur d’acier et de produits chimiques notamment, qui utilise l’outil BitSight pour cartographier sa sécurité. Le but est de présenter à l’aide de rapports objectifs les risques qui ont été identifiés et les actions concrètes qui ont été prises dans la foulée.” Il s’agit là d’une approche qui suscite un grand intérêt, mais qui présente également ses lacunes, sachant que tous les aspects de la sécurité ne sont pas simplement mesurables.

Investir dans la continuité d’activité

Quatre entreprises participantes sur 10 ont connu plus d’un incident de sécurité au cours des 2 dernières années. De tels exemples concrets permettent de convaincre très facilement la direction générale. Encore vaudrait-il mieux en tant que CIO ou CISO d’exposer les dommages qui ont pu être évités. “C’est pourquoi il est bon d’exposer des cas concrets, observe Kurt De Ruwe. Ainsi, il est possible d’expliquer à la direction l’impact qu’aurait provoqué tel incident, non seulement au plan financier, mais aussi en termes de réputation, si le département IT n’avait pas été en mesure de le prévenir.”

Lorsque des risques IT se transforment en risques opérationnels pour l’entreprise, il se révèle souvent difficile d’en estimer la valeur financière. “Il faut considérer la sécurité comme un investissement dans la continuité d’activité, fait remarquer Kurt De Ruwe. Cette continuité doit en outre être planifiée. Il faut savoir comment réagir en cas de problème. Concrètement, nous procédons à de nombreux tests, également en interne.”

Course contre la montre

En dépit de tous les efforts entrepris, les cybercriminels ne restent pas les bras croisés. D’autant que tous les spécialistes de sécurité ne recourent pas, et de loin, à l’intelligence artificielle et autres technologies de pointe pour les contrer. La course contre la montre reste engagée. “Tout l’art consiste à sécuriser suffisamment son environnement afin que les pirates aillent voir ailleurs où ils mettront moins de mal à pénétrer, raisonne Tycho Reniers. Nous utilisons l’intelligence artificielle aujourd’hui déjà pour identifier les rançongiciels. Mais nous sommes très prudents dans ce type de démarche.”

“La percée de l’intelligence artificielle et de l’apprentissage machine n’implique évidemment pas que nous pourrons nous passer de spécialistes en sécurité, ajoute Emmanuel David. La technologie permet précisément de rendre de gros volumes de données exploitables par les spécialistes. Leur rôle demeure indispensable pour interpréter correctement les constatations.” Dans le cadre de la sécurité – même en cas de recours à de nouveaux outils – , les entreprises ne doivent pas se laisser aveugler par la technologie.

“Les pirates ne se limitent d’ailleurs pas non plus à la technologie, affirme Patrick Putman. Les entreprises disposent de très nombreux outils, alors qu’en pratique, il est possible de s’introduire facilement dans un bureau paysager où se trouvent des PC non gérés.” En même temps, on assiste dans le monde de la cybercriminalité à une professionnalisation et à des effets d’échelle inconnus jusqu’alors. “Le nombre d’attaques explose, note Miguel De Bruycker. Et les pirates disposent de moyens importants pour se professionnaliser. Dans le monde numérique, l’effet d’échelle continue en outre d’augmenter à l’infini. C’est certainement inquiétant.”

Emmanuel David, technical director d'Orange Cyberdefense
Emmanuel David, technical director d’Orange Cyberdefense
Miguel De Bruycker, directeur du Centre pour la Cybersécurité Belgique
Miguel De Bruycker, directeur du Centre pour la Cybersécurité Belgique
Kurt De Ruwe, CIO de Signify
Kurt De Ruwe, CIO de Signify
Patrick Putman, CIO de Manuchar
Patrick Putman, CIO de Manuchar
Tycho Reniers, CISO de Tessenderlo
Tycho Reniers, CISO de Tessenderlo

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire