Le rôle des experts en sécurité, encore trop peu nombreux au sein des entreprises, n’est pas de passer du temps à paramétrer des outils techniques. Pour mettre en place un système de défense efficace et assurer la résilience de leur société, ils doivent d’abord disposer d’une vue globale.

La digitalisation de l’entreprise est inéluctable et apporte de nombreux bénéfices. Dans le domaine de la production par exemple, la pandémie de Covid-19 a prouvé que les responsables logistiques étaient en demande de numérisation pour mieux planifier et répondre plus rapidement aux besoins de distributeurs. Comme la production, toutes les fonctions de l’entreprise, marketing, finances, RH… sont concernées, ce qui a pour effet d’offrir une plus grande surface d’attaque aux cybercriminels.

Ainsi les actes de piratage se multiplient : le coût mondial de la cybercriminalité supporté par les entreprises représente 600 Md$ chaque année, à comparer au marché des stupéfiants qui est de 400 Md$.  Ces chiffres vertigineux sont d’ailleurs précisés par IBM Security qui publiait en juillet 2020 que le coût estimé par entreprise d’une violation de données est en moyenne de 3,86 millions de dollars.
C’est donc sans surprise que la cybercriminalité arrive en tête des risques en 2020 selon une étude menée auprès des directeurs de risques par l’assureur Allianz.

Cette vulnérabilité liée à la plus grande surface d’attaque est par ailleurs aggravée par le manque de ressources humaines. L’enseignement ne forme pas assez d’étudiants pour répondre à la demande. Certes, les diplômes se multiplient, de nouvelles filières apparaissent, mais pas assez vite… La cybersécurité est souvent considérée par les entreprises comme un centre de coûts. En réalité, c’est un moyen de perdre moins d’argent. Voire d’en gagner, car la sécurité est vertueuse pour le business : elle rassure les employés et les clients.

Objectif « Minimal Viable Enterprise »

Face à ces phénomènes, les responsables de la cybersécurité doivent opérer des arbitrages afin de mettre en place une « Minimal Viable Enterprise ».
En d’autres termes, ils s’organisent pour protéger les éléments critiques de l’entreprise en cas d’attaque sévère, afin qu’elle continue à fonctionner, au moins en mode dégradé.

Des solutions d’intégration technique…

Pour assurer cette résilience digitale, les experts sécurité doivent souvent empiler les solutions de protection. En situation de sous-effectif, il est parfois difficile pour eux de faire communiquer tous ces outils, d’autant qu’il peut y avoir autant de langages que de solutions.

Une option est de se doter d’une plateforme de sécurité capable de prendre en charge l’intégration technique de ces différents outils, quel que soit l’éditeur. Ces surcouches d’intermédiation applicative arrivent sur le marché pour répondre aux demandes des clients.

… à la préparation pratique

Mais elles ne sont qu’une partie de la solution. Comme dans le monde physique avec les alertes incendie, l’entreprise doit aussi s’entraîner pour mettre en place des procédures opérationnelles en cas d’attaque. Cela passe notamment par des tests d’intrusion, menés par des hackers en interne ou en ayant recours aux « bug bounty » (*).
Beaucoup de dirigeants restent réticents à ces pratiques, de peur que ces tests de pénétration se traduisent par des pannes bien réelles, notamment sur les applications legacy. Heureusement, les mentalités changent : les dirigeants se rapprochent de leur RSSI pour les écouter, au point que certains RSSI font désormais partie du ComEx.

L’automatisation pour accompagner l’humain

L’automatisation est aussi une bonne stratégie pour résoudre la complexité liée à la multiplicité des outils de sécurité. Elle se résume sous l’acronyme SOAR (Security Orchestration Automation and Response). Concrètement, cela signifie penser, automatiser et simuler la réponse aux incidents. Là encore, il ne s’agit que d’une partie de la solution : l’automatisation ne peut pas tout et l’expert humain est nécessaire pour contextualiser la menace et établir le bon diagnostic.

En matière de cybersécurité, les bons outils ne sont pas seulement ceux qui offrent une défense efficace. Ce sont aussi ceux qui permettent aux experts de se libérer des contraintes techniques pour se consacrer à une analyse globale des menaces et à leur traitement.
___________________

Par Sébastien Jardin, Directeur Business Development, IBM Security France

(*) Un programme de prime de bogue (ou bug bounty) est une offre proposée par de nombreux sites Web, organisations et développeurs de logiciels par laquelle les individus peuvent recevoir une reconnaissance et une compensation pour signaler des bogues, en particulier ceux qui concernent des failles de sécurité et des vulnérabilités.