La numérisation croissante de l’économie, via le développement de l’IoT et l’utilisation des outils digitaux, a drastiquement fait augmenter les risques de cyberattaques pour les entreprises. Avec 8 800 entreprises aidées dans la numérisation de leurs activités par le plan de relance du Gouvernement, et le développement massif du télétravail engendré par la crise sanitaire, la surface de vulnérabilité des entreprises aux risques de cyberattaques est d’autant plus étendue.
Au mois de septembre s’est tenu le forum international de la cybersécurité (FIC) à Lille. L’édition 2021 avait pour thème : “Pour une cybersécurité coopérative et collaborative”. Coopérative car elle repose sur le volontariat des acteurs du numérique dans la mise en place de bonnes pratiques et de pédagogie, mais également collaborative car elle nécessite la participation de tous les acteurs professionnels et des citoyens dans leurs usages personnels.
Il est donc légitime de se demander : quel rôle les entreprises peuvent jouer dans le développement de cette approche de la cybersécurité dite collaborative ?
Les DSSI, acteurs proactifs mais plus seuls garants
Les entreprises ont tendance à reposer de façon presque exclusive la cybersécurité au rôle des Directeurs de la sécurité des systèmes informatiques (DSSI). Ce raisonnement risqué omet la question des moyens accordés.
Avec le développement du télétravail et des usages mixtes des appareils professionnels et personnels, comme c’est le cas des ordinateurs par exemple, le rôle des DSSI a explosé en 2020. Durant cette année on estime que 90% des entreprises en France ont dû faire face à au moins un acte malveillant. C’est le cas d’Umanis (ESN) qui a subi entre le 13 et le 14 novembre 2020, une cyberattaque par rançongiciel (ransomware) permettant aux cybercriminels de dérober certaines données et de réclamer une rançon de 1 450 000 euros.
Cette situation étant amenée à se pérenniser, les DSSI sont plus que jamais au cœur de la protection des systèmes informatiques des entreprises. Afin de réduire les risques, il est impératif de sensibiliser l’ensemble des acteurs. Le développement des “Cyber Campus” de formation, comme celui d’EuraTechnologies à Lille, démontre la nécessité d’intégrer et de former tous les collaborateurs de l’entreprise, quelle que soit leur fonction. On passe ainsi d’une cybersécurité centralisée à une approche décentralisée tournée vers l’entreprise et ne reposant plus uniquement sur le DSSI.
La cybersécurité : une priorité pour les COMEX et les conseils d’administration
Face à une méconnaissance globale des besoins en matière de cybersécurité au sein des conseils d’administration, faire preuve de pédagogie sur les risques de cyberattaques pouvant impacter l’activité de la société est plus que jamais nécessaire.
Les DSSI doivent pouvoir présenter un reporting régulier, qu’il soit trimestriel ou semestriel, sur les menaces directes ou indirectes pour l’entreprise. Comment doit-il être construit ? Celui-ci comporte des éléments indispensables comme les failles potentielles de l’entreprise, qu’elles soient internes (comportement des collaborateurs, architecture des sites et des outils) ou externes (prestataires de paiement, fournisseurs d’internet).
L’étape suivante consiste à convaincre le conseil d’administration de constituer un comité d’audit interne chargé de faire appel à un acteur tiers ayant pour mission de définir les axes stratégiques d’amélioration de la politique de cybersécurité.
Une fois l’audit réalisé, les DSSI peuvent alors s’en servir de base pour formuler des recommandations. Ce travail de pédagogie permet également de solliciter les moyens humains et financiers nécessaires à la politique de cybersécurité de l’entreprise auprès du COMEX et du conseil d’administration.
Affaire de tous et responsabilité commune
Quelles sont les catégories d’acteurs ciblées lors des cyberattaques ? Si tous les acteurs d’une entreprise peuvent être ciblés ou utilisés comme vecteur, les pirates informatiques (hackers) ciblent en priorité les directions générales et les directions financières. Ces acteurs, souvent relativement mal informés des risques de cyberattaques, représentent une aubaine pour les hackers.
La participation de l’ensemble des acteurs de l’entreprise passe notamment par des campagnes de sensibilisation. La mise en place de campagnes dites de “phishing factice” permet de tester les bons réflexes des collaborateurs en matière de cybersécurité : que ce soit par la vigilance dans le traitement des mails, la non-utilisation de wifi public sans VPN, etc.
Ces bons réflexes reposent sur des éléments relativement simples permettant d’identifier les tentatives de phishing : caractère urgent du mail / présence d’erreurs de syntaxe ou d’orthographe / esthétique douteuse des logos ou visuels / présence d’un URL non relié à l’expéditeur / traduction douteuse.
Les entreprises ont tout intérêt à mettre en place des campagnes de sensibilisation aux risques, alliant formation lors de l’intégration et opérations de tests. Le DSSI et ses équipes peuvent alors évaluer le degré de maturité des collaborateurs au sujet de ces enjeux et décider de renforcer certains axes en fonction des besoins et de l’évolution des menaces.
Ces menaces s’illustrent notamment par la plus grande surface de vulnérabilité des entreprises entraînée par le développement des usages liés à l’IoT. C’est le cas notamment des attaques par déni de service distribuées (DDoS), visant à empêcher le bon fonctionnement des services par saturation. Ces attaques via les failles des objets connectés ont trouvé leur illustration en 2016 avec le botnet Mirai, utilisé notamment pour attaquer l’hébergeur français de sites web OVH, ayant entraîné une paralysie de nombreux services et sites tels que Twitter, Netflix et PayPal.
Si la cybersécurité repose sur le travail d’experts et nécessite des moyens pour faciliter sa mise en œuvre, réussir une telle stratégie ne peut cependant passer que par l’implication de tous les collaborateurs dans leurs usages des outils numériques et un travail collaboratif au plus haut point.
___________________
Par Majid Alla, DSSI, SQLI