En moyenne, une faille de sécurité en ligne coûte 1 million d’euros aux entreprises. Ce n’est pas tout : en 2015, le nombre de failles a considérablement augmenté aussi bien dans les petites que dans les grandes entreprises (de l’ordre de 74% et 90 % respectivement).
Une telle augmentation peut s’expliquer par une meilleure prise de conscience de la part des entreprises et une efficacité renforcée en matière de détection et de signalement des cyberattaques. Si tel est le cas, c’est une très bonne nouvelle. Pour autant, cela n’explique pas pourquoi elles sont encore aussi vulnérables. La véritable question reste, par conséquent, de savoir comment elles peuvent se protéger.
La cybersécurité est aujourd’hui le principal défi auquel sont confrontées les entreprises, quel que soit le secteur dans lequel elles évoluent. Car les entreprises du secteur informatique ne sont, en effet, pas les seules concernées. Pour le relever efficacement, il est nécessaire d’en comprendre les causes sous-jacentes.
Une véritable lame de fond
L’explosion des données se traduit par une forte augmentation du trafic Internet circulant sur les réseaux d’entreprise à un débit élevé. Aujourd’hui, jusqu’à 80 % du trafic de données d’une entreprise transite via Internet. Bien cachés, les logiciels malveillants (malwares) et espions (spywares) attendent le moment propice pour frapper et infiltrer les réseaux professionnels. La dépendance croissante vis-à-vis des réseaux sans fil — publics ou privés — offre aux cybercriminels des opportunités qu’ils ne manquent pas de saisir pour mener leurs activités illégales quasiment sous nos yeux, profitant souvent de précieux angles morts.
Au gré du trafic Internet, les employés téléchargent sans autorisation des applications mobiles et disponibles sur le Cloud, envoyant de grandes quantités de données sensibles vers des systèmes de stockage en Cloud public comme Dropbox ou Box. Bon nombre d’entre eux sont loin de se rendre compte des dangers que représente l’informatique fantôme, le « Shadow IT », mettant involontairement à mal — et de l’intérieur — la sécurité de leur entreprise, son image de marque et sa notoriété.
Face à cette situation, les responsables de la sécurité des systèmes d’information (RSSI) et les directeurs des systèmes d’information (DSI) n’ont d’autre option que de jouer les pompiers de service. Mais sans une vue unique, claire et précise des différents éléments en jeu, il leur est difficile de déterminer l’origine de la faille, ainsi que le meilleur endroit pour (re)mettre en œuvre une stratégie de défense.
Lutte contre la menace informatique à tous les étages
Le défi varie considérablement selon la taille de l’entreprise.
Les grandes entreprises se sont dotées d’équipes de sécurité informatique qui s’étoffent en fonction de leurs besoins opérationnels. À ce titre, elles utilisent généralement plusieurs produits indépendants mis en œuvre séparément, en « silos », ce qui génère une quantité considérable de données à analyser et constitue un moyen aussi inefficace que chronophage de surveiller les menaces potentielles. L’attaque subie fin 2013 par Target, chaîne de grande distribution américaine, est devenue un cas d’école. L’approche cloisonnée de l’entreprise a été son talon d’Achille car la DSI n’a pas été capable de protéger ses données suffisamment vite pour en empêcher l’exfiltration.
Pour les petites et moyennes entreprises, le défi s’intensifie par d’autres moyens. Beaucoup ne peuvent pas se permettre d’embaucher leurs propres spécialistes de la sécurité car ils sont souvent coûteux et très demandés. Pourtant, les PME subissent le même niveau de cyber-attaques que les grandes entreprises. Dans certains cas, le risque est même plus important.
S’il est indispensable de bloquer les attaques, les entreprises doivent également être assez agiles pour réagir rapidement et efficacement à des menaces imminentes. L’adoption du modèle « Security-as-a-Service » permet aux petites comme aux grandes entreprises de résoudre cette problématique.
Le modèle « en tant que service » évite en effet d’embaucher une équipe de spécialistes « es sécurité » pour assurer la maintenance de leurs équipements et en gérer la disponibilité opérationnelle et l’accessibilité. A titre d’exemple, la plate-forme de sécurité de Zscaler, 100 % Cloud, fournit au jour le jour les menaces RSS et ajoute de nouvelles fonctionnalités évolutives (par exemple, Sandboxing) pour détecter de nouvelles menaces dès leur apparition.
Faire fonctionner une plate-forme de sécurité sur le Cloud offre l’avantage supplémentaire d’une protection 24h/24 et 7j/7 pour les utilisateurs itinérants. Il fournit également une meilleure intégration grâce aux systèmes SIEM pour automatiser l’identification des nouvelles menaces et des dispositifs infectés.
Au bout du compte, cette approche libère un temps précieux et permet aux spécialistes de la sécurité de se concentrer sur la protection de l’architecture du réseau interne, de leur centre de données et des pare-feu entrants. Ces experts disposent également d’un moyen plus efficace pour identifier les appareils infectés et veiller à la mise en place des procédures permettant de désinfecter rapidement les appareils impactés tout en préservant le haut niveau de productivité des utilisateurs.
La cybersécurité, une stratégie collective
Les entreprises doivent comprendre que l’informatique fantôme est une réalité, ici et maintenant. Leurs responsables de la sécurité des systèmes d’information (RSSI) n’ont pas les moyens d’empêcher les salariés d’utiliser des outils et logiciels personnels, et l’application de mesures coercitives risque surtout d’encourager un nombre croissant d’utilisateurs à n’en faire qu’à leur guise. La meilleure approche reste la responsabilisation des utilisateurs en les obligeant à assurer leur sécurité en ligne.
La cyberprotection exige une collaboration totale, d’un bout à l’autre de l’entreprise. La DSI définit les grandes lignes de la politique ; les RH coordonnent la formation et supervisent les responsabilités des employés, et le marketing fait passer le message en interne et auprès du réseau de partenaires. Mais surtout, l’initiative doit venir d’en haut ; c’est pour cette raison que les dirigeants férus de technologie sont en train de s’imposer comme le véritable moteur des stratégies de cybersécurité.
Une fois la stratégie en place, l’étape suivante consiste à la présenter à l’ensemble de la société, ainsi qu’aux fournisseurs et aux partenaires. La formation est essentielle car il est primordial de faire en sorte que les employés acceptent et adoptent le concept tout en comprenant que leur responsabilité peut être engagée en cas de faille de sécurité.
Les utilisateurs doivent être informés des risques inhérents à l’utilisation d’Internet et de l’informatique fantôme. Ces risques concernent aussi bien leur lieu de travail que leur vie privée. Le BYOD (Bring Your Own Device) est de plus en plus présent dans les entreprises, et les employés accèdent presque sans limite aux réseaux Wi-Fi publics en utilisant un ordinateur portable et des périphériques mobiles fournis par leur entreprise. Dans un cas comme dans l’autre, ils ouvrent toutes grandes les portes du système de défense, déroulant le tapis rouge aux hackers.
Face à la pénurie de compétences, il est important de ne pas se tromper de fournisseur
Le manque de compétences s’explique par un besoin d’experts en cybersécurité bien plus important que le nombre d’experts disponibles, la demande dépasse l’offre de près d’un tiers ! Selon (ISC)2, consortium à but non lucratif spécialisé dans la sécurité informatique, les entreprises des secteurs privé et public auront besoin de six millions de professionnels de la sécurité d’ici à 2019 pour lutter efficacement contre la cybercriminalité. Hors, seuls 4,5 millions de ces spécialistes disposent des qualifications nécessaires.
Face à cette pénurie de compétences, les DSI et les chefs d’entreprise doivent externaliser les mécanismes de protection et de sécurité. Alors que les applications quittent les datacenters au profit du Cloud, la meilleure approche consiste à déployer des mesures de sécurité qui fonctionnent également sur le nuage. Parmi les avantages immédiats figure la surveillance 24/7, qui fournit aux CISO/DSI une meilleure visibilité en cas de pics de trafic inhabituels et leur permet d’anticiper d’éventuelles cyberattaques avant qu’elles n’atteignent le cœur du réseau.
Cependant, le manque de compétences techniques en interne limite la liberté dont disposent les entreprises pour personnaliser et gérer leur propre infrastructure de sécurité. A contrario, elles n’ont d’autre choix que de se tourner vers l’extérieur pour solliciter l’aide de consultants et de fournisseurs de services administrés.
Les entreprises doivent se montrer particulièrement prudentes lors de la sélection d’un fournisseur. Un mauvais choix peut conduire à un faux sentiment de sécurité, et à des conséquences désastreuses.
Tout n’est pas perdu. S’il est accompagné d’une promotion bien orchestrée et de généreux investissements en faveur de la formation, ce pic de demande favorisera l’apparition d’une nouvelle génération de talents qui garantiront à tous un avenir numérique plus sûr. C’est pourquoi les initiatives prises dans le domaine de la cybersécurité doivent être pilotées au sommet et être pleinement intégrées aux décisions stratégiques prises dans les plus hautes sphères de l’entreprise.
________
Didier Guyomarc’h est Directeur Régional Europe du Sud de Zscaler