Alors qu’une entreprise sur deux a déjà été victime d’une cyberattaque1, que WannaCry a fait plus de 200 000 victimes au printemps dernier2, et que les cyberattaques coutent chaque année 450 milliards de dollars aux entreprises3, la cybersécurité est aujourd’hui sur toutes les lèvres.

Entre prise de conscience et manque de maturité, nous sommes aujourd’hui, face à ce fléau de notre ère numérique, dans une double urgence, comparable à celle de la route dans les années 1970, à savoir : sécuriser les machines et sensibiliser les usagers.

Un accident n’arrive jamais par accident

Comme l’évoquait cette campagne de sensibilisation de la sécurité routière il y a une dizaine d’années, « un accident n’est pas une fatalité, mais un enchaînement de circonstances et de décisions dont l’issue est prévisible »4.

Il en va de même pour la sécurité informatique, à ceci près, fort heureusement, que les cyber-attaques sont, jusqu’ici, rarement mortelles. Mais les conséquences d’une « infraction apparemment anodine » peuvent également être tragiques. Les spécialistes ont par exemple souligné que pour la fameuse attaque WannaCry de mai 2017, les entreprises et particuliers touchés n’étaient pas à jour d’au moins trois mois dans leurs systèmes Windows.

Il n’est pas rare non plus que nous nous rendions compte, lors de l’audit qui suit une attaque ciblée, que le Système d’Information de l’entreprise était infiltré, comme sous surveillance malveillante, depuis des années. C’est d’ailleurs souvent ce qui se passe pour les « arnaques au Président », mode d’attaque très en vogue depuis plusieurs années, qui consiste en une usurpation d’identité du dirigeant, doublée d’une attaque informatique.

Les protections permettent d’éviter 80% des incidents

Face au danger, les réflexes sont souvent les mêmes : la machine n’a pas permis d’éviter l’accident, donc je sécurise la machine. C’est ainsi que, là où les équipementiers automobiles ont renforcé les habitacles et installé des ceintures, les experts informatiques, eux, développent des firewalls et multiplient les anti-virus.

Ces solutions, toujours plus sophistiquées (de l’ABS à la conduite prédictive en voiture, du Sandbox au machine learning en informatique), sont chaque fois vendues comme parfaitement fiables, impénétrables. Et cette approche fonctionne plutôt bien pour limiter l’impact, voire éviter complètement, les 80% de menaces frontales : la collision entre deux véhicules, l’attaque par un phishing de masse.

A deux conditions toutefois : que les installations soient correctement effectuées (le garage agréé plutôt que le bricolage maison), et que les maintenances et mises à jour soient régulières (audits du Système d’Information et contrôles techniques). Car la sécurité doit toujours être un processus continu plutôt qu’un objectif.

Et rien ne sert, comme ce grand groupe récemment croisé, d’investir des centaines de milliers d’euros dans une « usine à gaz », pour changer toute son architecture SI après une attaque, si un audit montre, à peine deux ans plus tard, que le niveau de sécurité de l’entreprise est in fine plus faible qu’avant.

Pour les 20% restant, c’est bien l’erreur humaine qui est à l’origine de la menace

Si l’usager était infaillible, nous n’aurions besoin ni d’airbag, ni d’anti-virus. Mais puisque la sécurité repose sur l’utilisateur, il nous incombe à nous, professionnels de la sécurité, de lui faciliter la tâche, par des outils simples et pragmatiques, et par un accompagnement en formation tout au long de la vie.

1. chiffres AON 2017
2. agence Europol 2017
3. étude Lloyd’s 2016
4. https://www.codeclic.com/blog-code-de-la-route/297-%C2%AB-un-accident-n-arrive-jamais-par-accident-%C2%BB/
5. http://www.education.gouv.fr/cid2553/le-brevet-informatique-et-internet-b2i.html

 

____________
Alexandre Ginon est co-fondateur et associé de Certilience