En une année, les cyberattaques ont occasionné près de 500 milliards de dollars de dommages aux entreprises. C’est un amer sentiment d’échec qui domine et qui risque de saper la confiance dans une économie qui a fait du numérique son moteur de croissance. Les investissements dans la cybersécurité sont pourtant conséquents. En 2017, les entreprises ont consacré 81,7 milliards de dollars dans des technologies de sécurité et ce budget augmentera de 8,7% en moyenne par an d’ici 2020 selon IDC . Nous assistons à une véritable guerre technologique qui oppose l’économie moderne aux experts du piratage. Il faut reprendre l’avantage.

La cybersécurité prend des allures de course à l’armement.
Il n’est pas rare de voir des entreprises recourir à plus d’une vingtaine de produits de sécurité différents. L’efficacité n’est pourtant pas au rendez-vous. En s’obstinant à employer les mêmes méthodes, la sécurité aura toujours un temps de retard sur les menaces. Albert Einstein expliquait que « la folie est de continuer à faire sans cesse la même chose en espérant que le résultat soit différent ». Il est temps de revoir notre copie car le nombre des menaces, leur fréquence et leur sophistication représenteront un défi quasiment impossible à relever avec les méthodes actuelles. La physionomie des applications a également énormément évolué ces dix dernières années. Pour gagner en agilité, les applications ont adopté les technologies web et les architectures distribuées qui augmentent par la même occasion la surface d’attaque. Pour être à la hauteur des enjeux, la cybersécurité doit cesser de suivre les cybercriminels sur leur terrain et agir selon deux axes :

  • Appliquer les principes de base de la sécurité qui contribuent à une « cyber hygiène »
  • Se focaliser sur les applications critiques et les données.

Avant de soigner les maladies, soignons notre « hygiène ».
La portée de nombreuses attaques médiatisées ces derniers mois aurait pu être largement diminuée si les entreprises concernées avaient respecté les cinq piliers de la « cyber hygiène » : Accorder aux applications et aux utilisateurs uniquement les droits dont ils ont strictement besoin ; compartimenter finement les ressources pour limiter (au minimum) la propagation d’une menace ; encrypter les données pour garantir leur confidentialité ; renforcer l’authentification en utilisant plusieurs critères et pas seulement un mot de passe ; appliquer régulièrement les mises à jour pour empêcher les pirates d’exploiter des failles connues.

Concrètement la mise en œuvre de ces règles de bon sens se heurte souvent au manque de cohérence et de compatibilité des produits utilisés. La complexité est un frein à la sécurité, l’écosystème impliqué dans la cybersécurité devra collaborer davantage dans un souci de simplification.

Commençons par respecter des règles de « cyber hygiène ».
La portée de nombreuses attaques médiatisées ces derniers mois aurait pu être largement diminuée si les entreprises concernées avaient respecté des principes de « cyber hygiène ». Tout d’abord accordons aux applications et aux utilisateurs uniquement les droits dont ils ont strictement besoin et associons-y des méthodes d’authentification multi critères. Evitons ensuite qu’une menace puisse se propager au-delà d’une zone minimum en segmentant les ressources. Pour garantir la confidentialité des données n’hésitons pas à crypter les données. Enfin empêchons que des groupes malveillants puissent exploiter des failles connues en appliquant régulièrement les mises à jour des systèmes et logiciels.

Dans la pratique la mise en œuvre de ces règles de bon sens se heurte souvent au manque de cohérence et de compatibilité des produits utilisés. La complexité est un frein à la sécurité, l’écosystème impliqué dans la cybersécurité devra collaborer davantage dans un souci de simplification.

Concentrons-nous sur les applications plutôt que sur les menaces.
Arrêtons de persister à vouloir identifier toutes les menaces possibles, concentrons-nous sur ce que nous devons absolument protéger c’est-à-dire les applications et les données. Au lieu de chercher une aiguille dans une botte de foin, veillons sur ce qui est le plus précieux pour l’entreprise. Cela nécessite une parfaite connaissance de l’application et de son contexte qui va bien au-delà de l’expertise des équipes de sécurité. Les applications modernes sont complexes et subissent de fréquents changements pour s’adapter à la concurrence ou au marché. Cela plaide pour une coopération plus étroite entre l’équipe de sécurité et celle du développement qui rappelle l’approche « DevOps ». Cette nouvelle génération de solutions devra s’appuyer sur les propriétés des infrastructures virtualisées du cloud pour veiller sur les applications. On pourra alors collecter les informations sur l’état attendu d’une application, déceler toutes déviations de comportement qui indiquent une menace potentielle et apporter la réponse appropriée.

Pour tenir ses promesses, le numérique ne pourra pas faire l’impasse d’une cybersécurité efficace. L’intelligence artificielle sera bientôt omniprésente. Il y a urgence à moderniser nos approches de défenses. On n’ose imaginer les conséquences d’une cyberattaque sur des voitures autonomes ou dans une ville intelligente. Les entreprises ont dû se transformer pour s’adapter aux nouveaux usages et en tirer parti. L’effort d’innovation doit se poursuivre sur le terrain de la cybersécurité.

__________
Sylvain Cazard est Vice-Président et Directeur Général VMware France