Cyber-résilience 2022 : où en sommes-nous ?
Philippe Sebag, Avanade

• Print
• Twitter
• Linkedin

La cyber-résilience… Tout le monde en parle mais, au juste, qu’est-ce que cela signifie ? Et en pratique, quelles actions doit on mener à travers toute l’entreprise pour tendre vers cet objectif de cyber-résilience qui, en 2022, demeure une priorité alors que les cyber-attaques n’ont jamais été aussi nombreuses, aussi sophistiquées et aussi destructrices ? Éléments de réponse…

La cyber-résilience en 2022, c’est quoi ?

La cyber-résilience est la capacité d’une entreprise à maintenir son activité sans ses données et ses applications vitales. L’objectif est de lui permettre d’être la plus réactive possible face à une cyberattaque en permettant aux cibles potentielles de développer et de partager des outils et informations afin de mutualiser les moyens de défense.

Les cyberattaques ont été multipliées par 4 en 2020 au dire de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) : les hackeurs innovent et propagent des menaces informatiques de plus en plus sophistiquées.

En 2021, le rapport NTT Global Threat Intelligence indique une augmentation de 300 % des attaques par ciblage opportuniste. Cela signifie que tout le monde peut être touché.

La France se place pour sa part en huitième place des pays les plus touchés par les cyberattaques, le FBI y recensant 1640 victimes de délits informatiques en 2020. L’Hexagone se trouve donc loin derrière les États-Unis, mais aussi le Royaume-Uni qui figure en deuxième place avec 216 633 proies. La France se place par ailleurs devant l’Allemagne (1578 victimes).

Aujourd’hui l’ensemble des entreprises du monde moderne font appel à l’informatique et tous ses dérivés pour réaliser leurs activités. Chacune d’entre elles a donc un système d’information avec des données, des applications et des métiers.

La forte digitalisation des entreprises et de leur écosystème amène à une vigilance de plus en plus accrue des systèmes d’information et des données. Le débat d’aujourd’hui n’est plus de savoir si elles vont être la cible d’une attaque, mais quand cette attaque aura lieu et quel sera l’impact sur leur fonctionnement.

Elles doivent donc travailler pour identifier :

• Les données critiques
• Les applications critiques
• Les activités critiques

En clair, quelles sont les données et les applications vitales sans lesquelles l’entreprise ne peut fonctionner ?

Cyber-résilience : Dans la vraie vie, que cela veut-il dire ?

Il s’agit d’utiliser tous les moyens qui sont à votre disposition pour réduire l’impact d’une cyberattaque :

• Des moyens pour stocker la donnée vitale sur un support déconnecté (une bande de sauvegarde ainsi qu’un équipement prêt à relire cette bande)
• Des moyens pour relancer une application, même en mode dégradé, sur un système minimaliste
• Des collaborateurs capables de travailler et de faire vivre vos activités vitales en mode manuel… Oui, en mode manuel, sous-entendu le retour du papier, des crayons, l’usage du téléphone, des déplacements etc.

Cet ensemble d’actions va vous permettre de :

1. Garder le lien avec vos clients pendant la crise
2. Maintenir le minimum vital d’activité
3. Mobiliser les équipes IT pour reconstruire en urgence un SI minimaliste
4. Avoir les outils pour récupérer les données offline et relancer un mode dégradé qui améliorera votre activité manuelle.

Il ne vous reste plus qu’à reconstruire le reste du système d’information et de repartir en mode nominal. Certes, il s’agit là d’un travail fastidieux, d’un effort de formation et de sensibilisation, mais c’est uniquement à ce prix que vous atteindrez la cyber-résilience optimale pour la survie de votre activité.

Il ne faut pas se méprendre, la cyber-résilience n’est pas qu’un projet technique comme le « disaster recovery » (plan de reprise d’activité). Il doit engager le leadership, les métiers et les utilisateurs. Tout ceci n’étant pas fait pour faire peur mais pour vous aider à vous organiser dans votre plan de cyber-résilience en 2022.

États des lieux des risques de cyberattaques

L’ANSSI a comptabilisé un nombre d’attaques par rançongiciels multiplié par 4 entre 2019 et 2020. Elle a également révélé une hausse de 400% de tentatives de phishing sur un an depuis mars 2020. Durant la Covid-19, ce risque cyber a augmenté de 25%.

L’année 2021 a également mal débuté puisque pas moins de six groupes de hackers auraient déjà réussi à subtiliser plus de 45 millions de dollars de janvier à mai auprès de 290 entreprises dans le monde.

Les rançongiciels sont des risques avérés pour les entreprises de toutes tailles. Personne n’est à l’abri d’une demande de rançon. Rien qu’en France, l’année 2020 a connu une hausse significative de ce type d’attaque. L’ANSSI a comptabilisé 192 incidents contre 54 en 2019, soit une augmentation de 255 % des signalements d’attaques en un an.

Dans le monde connecté qui est le nôtre et encore plus depuis l’arrivée de la pandémie mondiale, chaque personne utilise un ou plusieurs appareils à des fins professionnelles et personnelles (qu’ils soient séparés par usage ou communs ne change pas grand-chose). En usant de malice, les attaquants vont utiliser la crédulité de chacun d’entre nous pour arriver à pénétrer dans un appareil. Une fois présent, le reste n’est que méthode et patience pour arriver à trouver des données, les voler ou tout détruire. Installer une armada d’outils de protection sur ces appareils peut aider, mais n’est en aucun cas la solution à tous vos problèmes. Il s’agit plus d’efficacité que d’efforts d’investissements dans la sécurité.

La cyber-résilience, d’apparence contre-nature, et pourtant…

“La cyber-résilience fait référence à la capacité d’une entité à fournir en permanence le résultat souhaité malgré les cyber-événements indésirables. La cyber-résilience est une perspective en évolution qui est de plus en plus reconnue“. Elle permet de développer et de partager des outils et des informations afin de mutualiser les moyens défense !

L’union fait la force ! Aussi bien les grandes entreprises, les PME, les TPE, que toutes les infrastructures critiques nationales doivent être prévenues : devant la menace, le proverbe « à la guerre comme à la guerre » a vécu, celui qui prévaut désormais est : « à la cyberguerre comme à la cyberguerre ! »

On peut pour le moins comprendre cette inquiétude au regard des chiffres : La cybercriminalité coûte de plus en plus cher à l’économie mondiale. Usurpations d’identité, piratages… Avec la multiplication des actes malveillants, on estime que ce fardeau constitue désormais un coût de plus de 1 000 milliards de dollars par an pour l’économie planétaire, soit 50% de plus qu’en 2018. C’est 6,5 plus que les pertes économiques liées aux catastrophes naturelles en 2020 dans le monde, qui s’élève à 153 milliards de dollars » (selon le bilan de l’assureur Swiss Re).

L’enquête souligne également qu’au-delà des dommages financiers, les entreprises victimes subissent d’autres impacts négatifs en termes de réputation, de confiance des clients et d’heures de travail perdues. Le coût moyen du plus long arrêt d’un système dans une entreprise après une attaque malveillante a été évalué à 762 231 dollars, selon les sociétés interrogées.

La gravité et la fréquence des cyberattaques sur les entreprises continuent d’augmenter à mesure que les techniques évoluent, que les nouvelles technologies élargissent l’éventail des menaces et que le travail s’effectue davantage à distance.

Guillaume Poupard, le directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a rappelé que « les attaques récentes sont des pré positionnements pour les conflits de demain, avec des groupes très organisés et probablement soutenus par des États. Ils mettent des charges dans les systèmes d’information en prévision d’un conflit. Un peu comme si on mettait de la dynamite sur les piliers des ponts en attendant la guerre ».

Quelle réaction faut-il avoir ?

Il ne s’agit pas de baisser les bras mais d’accepter cet état de fait. La cybercriminalité est protéiforme, elle ne disparaîtra pas, elle peut seulement se combattre de façon plus efficiente. Il s’agit donc d’intégrer que la cyber-résilience est l’affaire de tous et de toutes. C’est notamment celle des TPE/PME – souvent moins armées et plus vulnérables – qui peuvent, sans être la cible finale, constituer des points d’entrée privilégiés vers de grandes entreprises, au même titre que l’est tout salarié peu ou mal informé des principes de précautions les plus élémentaires lorsqu’il est connecté aux réseaux de son entreprise.

La réduction de la probabilité de survenance des évènements de sécurité sera essentiellement réalisée grâce à des mesures se situant en amont. On parlera de mesures préventives. On est là dans le domaine de la sécurité.

Les mesures de sécurité sont essentiellement de 3 types :

• Préventives
• De détection, pour détecter l’incident lorsqu’il se produit
• Correctives pour corriger le système et revenir à une situation acceptable (incluant l’activation d’un plan de continuité ou PCA).

À côté de ces aspects, se pose le problème de la réduction de l’impact et de l’après-crise. Il s’agit donc de répondre à la question « comment pouvons-nous survivre si un tel incident se produit ? ». En d’autres termes, il s’agit de planifier ce qu’il convient de faire pour réduire les impacts lorsqu’un incident se sera produit. On est là dans le domaine de la résilience.

Cyber-résilience en 2022 : les actions clés

Une cyberattaque majeure peut être destructive ou entraîner une perte de confiance dans les systèmes clés. Le premier réflexe pour une majorité d’entreprises est alors d’activer le plan de continuité d’activité (PCA). Celui-ci constitue un élément majeur de la stratégie de résilience des organisations. L’objectif est d’assurer la survie de l’organisation lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ses actifs clés. Il peut s’agir de moyens informatiques, d’infrastructures de communication mais aussi des locaux voire des collaborateurs.

Or les cyberattaques majeures destructives comme Wannacry ou NotPetya, ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) telles que les attaques ciblées en profondeur, ne sont pas prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers se focalisent sur un enjeu de disponibilité. Ils n’appréhendent pas les problématiques de destruction simultanée et de perte de confiance dans le SI induites par les cyberattaques.

Des dispositifs de continuité vulnérables

À titre d’exemple, suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée dans le cadre d’une gestion de crise. Malheureusement, ceux-ci partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Ils avaient donc été logiquement détruits de la même manière que les sites nominaux. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé, à ce moment, très vains.

Quel rôle joue la sensibilisation dans une démarche de cyberprotection ?

80% des cyberattaques sont du phishing et du spearphishing, des attaques misant sur l’usurpation d’identité pour obtenir des données privées et/ou confidentielles (selon le rapport de Statista sur les attaques les plus fréquentes en France de Juillet 2021) .

Les pirates se basent sur l’erreur humaine pour arriver à leur fin, c’est pourquoi la sensibilisation consiste en une étape essentielle pour faire face aux risques. Mettre en situation ses équipes à l’aide d’une solution de simulations d’attaques et les former au bon moment (lorsque le collaborateur clique et renseigne ses données) génèrent des résultats impactants et immédiats.

Il existe, par exemple, des « Serious Game » qui aident les entreprises à former leurs utilisateurs aux cyberattaques. Le jeu permet de se mettre à la place d’un hackeur qui reçoit une nouvelle mission en ciblant une entreprise. Ceci permet aux utilisateurs non technophiles de comprendre comment les hackeurs créent ces attaques, afin d’être mieux préparés quand ils recevront des phishings, des ransomwares, clés usb, etc.

En conclusion, la cyber-résilience en 2022 est un projet d’entreprise qui doit être mené en collaboration avec les équipes du leadership pour le sponsoring, les équipes métier, les utilisateurs et les équipes techniques.

Il ne faut pas penser que cela n’arrivera pas dans votre entreprise. Il faut s’y préparer !
___________________

Par Philippe Sebag, Responsable Offre Sécurité chez Avanade

À lire également autour de la cyber-résilience 2022 :

> Comment la cyber-résilience pourrait sauver votre entreprise en 2022 ?
> Cybersécurité & cyber-résilience, 10 prévisions pour 2022
> 5 étapes pour améliorer la cyber-résilience des entreprises en 2022…
> Les 4 grandes priorités des responsables infrastructures et sécurité réseaux en 2022.
> Quel avenir pour la cybersécurité en 2022 ?