Le paysage de la sécurité se modifie à un rythme effréné. En effet, non seulement les motivations et l’approche des attaques se transforment, mais aussi la manière dont les entreprises se protègent contre de telles attaques. Plus que jamais, les organisations ne doivent plus se limiter à leur périmètre interne puisque leur propre sécurité peut se révéler cruciale pour le fonctionnement de l’ensemble de la chaîne d’approvisionnement.
Désormais donc, le besoin de conscientisation en matière de sécurité se révèle important. « Nous constatons une augmentation sensible des fameuses ‘state-sponsored attacks’ », précise Geert van der Linden, CISO et Executive VP Cybersecurity de Capgemini. « Dans le même temps, la cible des attaques a évolué. Autrefois, ces attaques visaient surtout à extorquer de l’argent, alors qu’aujourd’hui, il est davantage question de générer de l’insécurité sociale, par exemple en perturbant le fonctionnement d’entreprises d’approvisionnement énergétique ou d’hôpitaux. »
Dans le contexte de la cybersécurité, la notion de responsabilité a également évolué. En tant que prestataire de service, vous êtes en effet responsable de la qualité de la sécurité du service presté. « Cela change fondamentalement les choses », considère Geert van der Linden. « Prenez le cas de DORA (Digital Operational Resilience Act) : selon la législation européenne, vous devez pouvoir démontrer votre capacité de résilience. » Cette réglementation cible dans un premier temps le secteur financier, mais les observateurs s’attendent à voir son champ d’application s’élargir rapidement.
Au-delà de l’infrastructure
Comment une entreprise peut-elle s’adapter à ce contexte en constante évolution ? « « Le fondement est et reste une sécurité basée sur l’infrastructure », explique encore Geert van der Linden, « mais la nature des risques évolue. C’est pourquoi la confiance zéro se révèle nécessaire. » Le concept de la confiance zéro prend le contrepied du principe classique. Autrefois, l’utilisateur avait accès à tout, à moins que cela ne lui soit strictement défendu. Dans le cas de la confiance zéro, cet utilisateur ne dispose d’aucun accès, à moins que celui-ci lui soit formellement autorisé. « Et la procédure doit être suffisamment détaillée. L’objectif est qu’un utilisateur disposant d’un seul login puisse avoir accès à l’ensemble des données et des applications. »
« Le fondement est et reste une sécurité basée sur l’infrastructure. Mais la nature des risques évolue. C’est pourquoi la confiance zéro se révèle nécessaire. »
Geert van der Linden, CISO en Executive VP Cybersecurity de Capgemini
Dans le même temps, la sécurité de ces applications – et donc pas seulement l’infrastructure – bénéficie d’une attention plus spécifique. « Nous constatons que les pirates ciblent de plus en plus les applications », ajoute Geert van der Linden, « car celles-ci offrent à leurs yeux davantage de valeur. » C’est la raison pour laquelle le CISO doit être partie prenante dans la sécurité de la technologie opérationnelle, à savoir donc pas seulement l’IT, mais aussi l’OT. Car les cybercriminels le savent bien : si la production est perturbée, l’entreprise subit des pertes. Dans le même temps, l’organisation doit regarder au-delà de son propre périmètre : le piratage d’une petite entreprise peut avoir un impact sur l’ensemble de la chaîne d’approvisionnement, de telle sorte que l’incident risque de toucher de grandes organisations.
Évolution rapide
Tout observateur qui s’intéresse à l’évolution de la sécurité le constate : la complexité de l’ensemble de la problématique de sécurité ne fait que croître. Dès lors, les entreprises externalisent toujours plus leur sécurité IT, non seulement pour maîtriser cette complexité, mais souvent aussi parce qu’elles éprouvent des difficultés à trouver suffisamment de profils spécialisés en sécurité sur le marché du travail. Autre élément à prendre en considération, le fait que les prestataires de service qui jouent uniquement la carte des économies de coûts sont en perte de vitesse. « La croissance est le fait d’acteurs qui offrent un rapport qualité/prix intéressant », prétend Geert van der Linden. « C’est précisément parce que le paysage de la sécurité est en rapide évolution que l’externalisation se révèle intéressante dans la mesure où il est difficile de pouvoir suivre seul toutes les évolutions. »
Communication ouverte
Nombre d’incidents évoqués dans la presse concernent des rançongiciels. Il s’agit là de cas que le secteur IT devrait évoquer ouvertement, sachant que les victimes pourraient partager leur expérience et permettre ainsi à d’autres entreprises d’en profiter. Mais dans la pratique, cette ouverture d’esprit n’existe que rarement. « Il y a un sentiment de honte, mais aussi la crainte que les clients prennent leurs distances. Les entreprises n’apprécient pas de devoir avouer que leur sécurité a été prise en défaut, afin de ne pas attirer d’autres cybercriminels. » Pourtant, une communication ouverte peut précisément aider à réparer un dommage. « C’est ce qu’a fait Maersk », conclut Geert van der Linden. En 2016, l’entreprise de logistique a été victime d’une attaque par maliciel à grande ampleur. « La direction a alors admis avoir été piratée et avoir subi une fuite importante de données, à la suite de quoi l’entreprise a reçu l’aide de nombreux clients qui lui ont transmis leurs données. »
Plus d’infos sur www.capgemini.com.