La cybersécurité – plus importante que jamais

Pour les uns, la sécurité IT n’est jamais trop élevée, tandis que les autres estiment qu’une protection de base suffit. Les cybercriminels disposent de nouveaux instruments pour causer volontairement des dommages à une entreprise ou accéder à des informations confidentielles. L’espionnage industriel est présent aussi sur la toile. La numérisation croissante des services et des offres pousse les entreprises à se pencher plus avant sur les questions d’IT. Aujourd’hui, nous ne nous demandons plus si une entreprise est menacée, nous partons du principe qu’elle l’est à tout moment. Sa survie dépend de la rapidité à identifier et à contrer rapidement une potentielle cyberattaque.

Sensibiliser et s’organiser

Les entreprises doivent être conscientes des enjeux de la sécurité IT, savoir comment s’organiser face aux nouveaux types de danger et quels risques elles sont prêtes à prendre. Et ce, qu’elles s’occupent elles-mêmes de leur sécurité ou qu’elles s’adressent à des fournisseurs spécialisés.

Les prestataires de service externes spécialisés peuvent se charger de sous-éléments de la sécurité IT. Ils sont plus efficaces, possèdent un savoir-faire plus étendu et ont accès à un plus grand nombre d’informations, collectées au contact de leur clientèle. Il n’est toutefois pas possible de déléguer la sécurité IT dans son intégralité. L’entreprise reste toujours responsable de sa sécurité générale. En fonction du secteur, les exigences de sécurité varient également selon les directives légales.

La sécurité IT va au-delà de la prévention. Elle requiert souvent des connaissances techniques, et comprend globalement trois niveaux: la prévention, la détection et l’intervention.

Au niveau prévention, différentes mesures sont prises pour se protéger contre les attaques potentielles, telles que la sensibilisation des collaborateurs, la mise en place de redondances informatiques ou la protection contre les programmes malveillants. Installer régulièrement les patchs de sécurité et mises à jour, et bien les tester, permet d’atteindre une bonne protection de base, bien que limitée. Cependant, il faut souvent des mois pour constater qu’une personne malintentionnée est parvenue à compromettre le système. Nous devons partir du principe que malgré une prévention efficace des attaques peuvent se produire à tout moment.

Au regard de la professionnalisation croissante des attaques, la détection est plus que jamais un thème essentiel. Une attaque réussie doit être identifiée le plus tôt et le plus vite possible. La détection requiert un grand savoir-faire et des moyens appropriés. Et comme les personnes malintentionnées n’ont que faire des horaires de bureau, une surveillance 24 h/24 est indispensable pour une protection efficace. Dans les secteurs très réglementés, les entreprises n’ont pas besoin d’organiser elles-mêmes d’audits dès lors qu’elles choisissent des fournisseurs mettant à disposition leurs rapports d’audits.

Chose très regrettable, les sociétés investissent souvent beaucoup dans la prévention mais sans savoir comment intervenir en cas de danger avéré. Et c’est là qu’intervient le troisième niveau, l’intervention, qui consiste à définir au préalable des processus et à les appliquer dans les situations critiques. Une documentation est également impérative afin de traiter un incident a posteriori. Dans la plupart des cas, la phase d’intervention est confiée à des spécialistes.

La Threat Intelligence en renfort

Ces niveaux de sécurité classiques sont aujourd’hui largement connus. Afin de contrer des attaques plus subtiles, des méthodes de détection innovantes sont indispensables, comme la Threat Intelligence.

De façon générale, il faut considérer qu’une faille est possible à tout moment et qu’elle est même peut-être déjà présente. De nombreuses approches actuelles, telles que le «Security Information and Event Management (SIEM)», présentent des faiblesses car elles ne peuvent généralement répondre qu’à des questions déjà connues.

Il convient donc de préférer une approche dynamique, basée sur différentes méthodes visant un seul et même objectif: alimenter la base de données de connaissances et échanger activement les savoirs. Cela implique de recourir à des professionnels pour effectuer manuellement des analyses, rechercher activement les failles, échanger des connaissances avec d’autres équipes CSIRT (Computer Security Incident Response Team) et appliquer des approches Smart Data afin d’identifier les anomalies dans le trafic de données.

Avec un programme Bug Bounty, les entreprises peuvent profiter d’un gigantesque savoir-faire de «crowd» en sécurité. En incitant des experts externes à analyser, identifier et signaler des failles de sécurité, une entreprise attire des chercheurs aux compétences de pointe, de classe mondiale, qu’il serait impossible d’embaucher autrement. Il est alors critique de fournir une motivation: au-delà de l’aspect financier, la réputation au sein de la Community est importante, mais aussi la possibilité de se confronter à des thématiques et technologies de pointes et de tester ses compétences en pratique. Enfin, il est indispensable d’établir une collaboration efficace et respectueuse entre les experts en sécurité et le département Security. En surveillant des dizaines, voire des centaines de clients, ces fournisseurs spécialisés ont clairement l’avantage car ils peuvent ainsi sans cesse apprendre et étoffer leur expérience. Un fournisseur d’infrastructures disposant de son propre réseau de données a encore plus d’avance: dans l’optique de protéger sa propre infrastructure, il collecte des informations qui lui permettent de nourrir ses bases de données spécifiques.