Du fait de la digitalisation, notre monde ne cesse d’évoluer et l’importance de la cybersécurité prend une place plus grande chaque jour. Les cyberattaques devenant de plus en plus sophistiquées, la proactivité via la mise en œuvre d’une stratégie de sécurité comprenant différents niveaux, est de mise.
Outre-Atlantique, l’administration Biden-Harris a présenté sa stratégie nationale en matière de cybersécurité et cela représente une nouvelle étape vers un renforcement de la cybersécurité dans les organisations des secteurs public et privé aux USA, allant au-delà des protocoles de sécurité élémentaires.
Cette stratégie globale met l’accent sur l’accroissement des responsabilités, le partage des charges et la création d’un front uni face aux cyber-défis, en particulier la menace croissante des ransomwares.
En analysant cette stratégie américaine, il est possible de dégager des points forts généraux et l’impact qu’ils pourraient avoir sur les activités et les habitudes des utilisateurs, si elle est déployée par des entreprises et institutions à travers le monde.
Un renforcement des pratiques en matière de résilience
L’une des principales conclusions de l’annonce du gouvernement américain du 3 mars dernier réside dans la nécessité de rendre obligatoire le renforcement des pratiques en matière de résilience pour les organisations. Parallèlement, on peut s’interroger sur le besoin de créer un écosystème numérique qui soit intrinsèquement plus défendable, plus résilient et plus conforme à aux valeurs des entreprises et institutions. Ce que l’on entend par « défendable » est qu’il faut faire basculer l’avantage de l’attaquant au profit du défenseur en concevant des systèmes où la sécurité est intégrée. La résilience induit que lorsque les défenses tombent (ce qui peut parfois arriver) les conséquences ne sont pas irréversibles et la reprise est transparente et rapide. Ainsi, les incidents cybernétiques ne devraient pas avoir d’impact systémique dans notre monde tangible.
De ce fait, une évolution vers de meilleures pratiques en matière de résilience est plus que souhaitable, elle est nécessaire. Néanmoins, actuellement sur le terrain, les cybercriminels parviennent souvent à déjouer les meilleures défenses en première ligne. Or, si les entreprises ont une meilleure résilience – avec des stratégies supplémentaires mises en place pour réduire l’impact d’une attaque, optimiser la récupération et protéger les données – alors les effets de cette dernière ne seront pas irréversibles. Il est de ce fait essentiel, pour une protection efficace contre les cybermenaces, de construire des systèmes reposant sur une infrastructure Zero Trust et une sécurité intégrée dès le départ (et non pas ajoutée ultérieurement). Cela passe par l’utilisation de l’authentification multifactorielle, la segmentation des réseaux et la mise en œuvre d’une sauvegarde immuable ; autant de moyens efficaces de prévenir les attaques de ransomware et de s’en prémunir.
Une évolution de la responsabilité partagée en matière de protection des données
Pour les entreprises, en particulier celles qui sont à la pointe de l’innovation, elles doivent assumer davantage de responsabilités et ne pas s’appuyer uniquement sur les réglementations en vigueur et sur leurs développeurs. C’est le deuxième point qui ressort de la stratégie américaine de cybersécurité, qui met en évidence l’évolution de la responsabilité partagée en matière de protection des données insistant davantage sur les entreprises IT, ainsi que sur les individus et les processus. Il s’agit là d’un pilier important, car il comprend la mise en œuvre de contrôles d’accès appropriés et la réalisation régulière de tests de vulnérabilité.
Par ailleurs, la résilience des données est le troisième volet de la stratégie cybersécurité et est particulièrement pertinente au regard du contexte actuel. Elle souligne l’importance d’une plus grande responsabilisation des gestionnaires de données dans la protection de tous les types de données, en particulier les informations sensibles telles que les secrets commerciaux, la propriété intellectuelle et les informations personnelles identifiables. Face aux inquiétantes failles de sécurité de données qui ont été révélées ces derniers mois, aux conséquences dévastatrices relatives aux pénalités financières et atteintes à la réputation qu’elles ont engendrées, cela souligne à quel point il est crucial de prendre la protection des données au sérieux.
Le développement des partenariats public-privé pour la cybersécurité
Outre les principes à intégrer dans les stratégies cybersécurité au sein des organisations, ces dernières ne peuvent agir efficacement si elles sont isolées. C’est bien connu, l’union fait la force, surtout dans cette bataille contre les cybercriminels. L’importance de renforcer les partenariats public-privé est donc au cœur de cette stratégie visant à améliorer la cybersécurité des entreprises et institutions à travers le monde. De nombreuses solutions peuvent être intégrées pour justement répondre à ces besoins vitaux. Parmi les leviers à activer, le modèle de sécurité Zero Trust permet de minimiser le risque de cyberattaques en limitant l’accès aux informations sensibles et en vérifiant en permanence la confiance dans tous les appareils, applications et utilisateurs.
Enfin, à l’instar des mesures prises par l’Union Européenne, l’administration Biden aspire à des efforts législatifs visant à limiter la collecte, l’utilisation, le transfert et la conservation des données, y compris les données commerciales sensibles, et dont le non-respect peut entraîner des conséquences importantes pour les entreprises – allant des sanctions financières aux atteintes à leur réputation. Il est donc essentiel que les organisations identifient et gèrent leurs données sensibles afin d’éviter tout problème de conformité, ce qui passe par des politiques et des procédures de protection des données, ainsi que par la mise en œuvre des mesures minimales de cybersécurité pour les infrastructures critiques.
Finalement, le lancement de la stratégie américaine en matière de cybersécurité est une étape positive et incontournable pour améliorer la cybersécurité dans les organisations des secteurs public et privé. Pour nous européens, ces annonces et volontés relèvent du bon sens et font écho à ce qui est déjà engagé par de nombreux services IT. De plus, sila cybersécurité est un sport d’équipe, il n’y a aucun moyen de gagner contre des cybercriminels sans une coalition forte entre les différents acteurs. S’il est encourageant de voir revenir le débat sur le devant de la scène, celui-ci doit être alimenté en mettant l’accent sur les meilleures pratiques en matière de résilience, sur le partage des responsabilités et sur la responsabilisation accrue des gestionnaires de données, pour que les entreprises puissent ainsi mieux se protéger contre les cybermenaces et se préparer à d’éventuelles évolutions législatives en matière de données. En effet, ce type de changements légaux aux Etats-Unis peuvent également impacter l’activité des entreprises et des services IT en Europe et en France.
____________________________
Par Jean-Pierre Boushira, VP South EMEA, Benelux & Nordics chez Veritas Technologies