«L'humain est à la fois le principal facteur de risque et le principal facteur de protection»

Les cyberattaques contre les entreprises augmentent dans le monde entier, et les PME suisses sont de plus en plus touchées. Quels sont les facteurs qui aggravent encore la situation dans les entreprises?

Plusieurs centaines d'incidents sont signalés chaque semaine au NCSC et la tendance n'est pas près de s'inverser. Une obligation de signaler les cyberattaques, telle qu'elle est actuellement en consultation pour les infrastructures critiques, exigera des mesures de protection supplémentaires, pour lesquelles beaucoup d'entreprises concernées ne sont pas encore préparées. Cette obligation implique des efforts et des coûts accrus, mais ces mesures aideront également les entreprises reconnaître les modes d'attaque. Le guichet d'alerte contribuera ainsi à une meilleure vue d'ensemble de la situation, ce qui devrait accroître la cybersécurité et la résilience en Suisse. Par ailleurs, le manque de personnel qualifié aggrave la situation, les entreprises manquant de spécialistes pour l'élaboration de stratégies de défense. Avec l’avancée de la numérisation dans les entreprises industrielles, cette situation est problématique, sachant que les installations sont de plus en plus exploitées comme portes d’entrée par les pirates.

Comment le manque de personnel qualifié influence-t-il l'organisation de la cybersécurité dans les entreprises et comment peuvent-elles y faire face?

Confier la sécurité IT à du personnel ne disposant pas du savoir-faire nécessaire constitue un risque. C'est pourquoi les entreprises devraient investir dans les collaborateurs et dans leur formation continue. A long terme, une coopération entre les organismes de formation, le secteur privé et la politique est toutefois nécessaire. Il convient d'enthousiasmer très tôt les jeunes pour l'informatique. Et cela passe par des formations initiales et continues attrayantes ainsi que par la promotion de la place économique. À long terme, la relève est indispensable, car la demande est bien supérieure à l'offre. Pour y remédier, les entreprises se tournent donc vers des prestataires de services externes tels que les fournisseurs de services de sécurité managés (MSSP). Ces modèles partagés permettent d'alléger la charge de travail lorsque les spécialistes se font rares.  

Quels avantages les services de sécurité managés offrent-ils aux entreprises et pourquoi est-il judicieux d'externaliser la cybersécurité, en particulier pour les PME?

Les MSSP présentent l'avantage que leur portefeuille permet de combler les lacunes des entreprises de manière ciblée. Ils aident à répondre aux exigences en matière de cybersécurité, ils enlèvent aux entreprises la pression du temps et ils les déchargent du recrutement de personnel qualifié. En outre, les MSSP les conseillent ou se chargent de l'évaluation, de l'achat et de l'installation des technologies. Cette collaboration permet aux PME d'accéder à des services haut de gamme, comme un centre opérationnel de sécurité (SOC), sans avoir à mettre en place toute l’infrastructure. Les PME profitent particulièrement des services de sécurité gérés, car elles ne doivent acheter que les services dont elles ont réellement besoin.

Les exigences légales, telles que l'obligation de déclarer les incidents de cybersécurité pour les entreprises considérées comme des infrastructures critiques, constituent un défi supplémentaire. Comment les entreprises concernées peuvent-elles se préparer à cette obligation et à quelles conséquences doivent-elles s'attendre?

Les conséquences d'un manquement à l'obligation de signaler ne se limitent pas à des amendes ou des sanctions. Les dommages causés par l'arrêt de la production, la panne des systèmes IT, la perte d'informations ou même, dans le cas de la technologie opérationnelle (Operational Technology ou OT), les dommages causés aux personnes et à l'environnement sont bien plus graves. Pour minimiser ces risques, les entreprises peuvent s'appuyer sur des normes établies au niveau international et suivre les recommandations du NCSC. Nous conseillons aux entreprises d'effectuer un Security Assessment pour faire le point et analyser les risques. Il est important que les organisations agissent de manière préventive et n'attendent pas qu'un sinistre se produise. Il est essentiel de bien se préparer, car en cas de problème, les entreprises ont les nerfs à vif.  

De quoi les entreprises doivent-elles tenir compte lorsqu'elles établissent un état des lieux de leur cybersécurité?

Faire le point sur la cybersécurité signifie que des investissements seront nécessaires. Afin d'utiliser judicieusement leurs ressources, les entreprises devraient se baser sur les risques réels. Dans ce contexte, il est utile de faire appel à des experts externes. Outre le fait qu'ils disposent des compétences nécessaires, ils permettent aux entreprises de bénéficier d'un point de vue indépendant. Dans le domaine de l'IT et de l’OT, on voit souvent s'affronter des points de vue différents en interne avec des besoins divers qu'il s'agit de mettre en balance.

L'Office fédéral pour l'approvisionnement économique du pays (OFAE) a publié une norme minimale TIC pour les infrastructures critiques. Quelles sont les principales mesures dont les entreprises doivent tenir compte?

Pour mettre en œuvre les mesures, les entreprises doivent tenir compte de trois dimensions: les personnes, la technologie et les processus. En premier lieu, les entreprises devraient former leurs collaborateurs dans le domaine de la cybersécurité. Outre une répartition des rôles et des responsabilités clairement définie, elles ont également besoin de solutions techniques comme les pare-feu et les systèmes de détection d'intrusion. Il faut aussi des audits de sécurité réguliers, des tests d'intrusion et des contrôles d'accès. Une stratégie globale devrait également inclure un plan d'urgence afin de pouvoir réagir en cas d'incident.

Quel est actuellement le plus grand défi en matière de cybersécurité?

La visibilité au sein de l'entreprise est à la fois le plus grand défi et la condition la plus importante pour la stratégie de sécurité. Les entreprises doivent savoir quels sont leurs biens les plus précieux - processus commerciaux, infrastructure, systèmes. Elles ne peuvent pas couvrir intégralement chaque domaine, mais elles peuvent se concentrer sur certains d'entre eux et veiller à leur protection. Des processus et des responsabilités clairement définis aident à ce que tous les départements tirent à la même corde et que les mesures de protection soient mises en œuvre de manière efficace. Pour que les entreprises puissent relever ce défi, elles doivent pouvoir compter sur la compréhension de leur direction. Or, celles-ci ne sont souvent pas sensibilisées à ce sujet.

Comment les entreprises peuvent-elles améliorer la visibilité de leurs systèmes IT et OT?

Tout d'abord, il faut une personne qui assume la responsabilité globale et qui garantisse une vue d'ensemble et l'interaction entre l'IT et l'OT. Les cycles de vie du monde OT sont plus longs que ceux de l'IT, c'est pourquoi il faut quelqu'un qui réunisse les deux domaines. Une problématique récente pour ces entreprises réside dans l’automatisation et la numérisation croissante des processus OT, ce qui rend les systèmes de production plus vulnérables aux cyber-risques. On trouve aujourd'hui sur le marché différentes solutions qui permettent de créer une visibilité dans la gestion des assets. Il ne faut cependant pas considérer la visibilité comme une tâche unique: il faut l’entretenir en permanence afin d'identifier à temps les risques pour les opérations.

Quels risques les entreprises manufacturières doivent-elles particulièrement prendre en compte s’agissant de leur OT? Quels aspects une stratégie de sécurité OT doit-elle couvrir?

Dans l'OT, le manque de visibilité est très prononcé: les protocoles propriétaires sont nombreux, le réseau est souvent plus fragile et les installations fonctionnent 24 heures sur 24. Souvent, on utilise aussi des systèmes d'exploitation plus anciens, pour lesquels il n'y a plus de mises à jour de sécurité. Il manque en même temps d'expertes et d'experts réunissant les connaissances techniques des deux domaines. Nous recommandons une stratégie de défense en profondeur (deep-in-depth) combinant un grand nombre de mesures de sécurité afin de devenir résilient face à un large éventail de menaces. Cette approche couvre tous les aspects de la sécurité, de la sensibilisation à la sécurité physique, des processus à la segmentation du réseau et bien d'autres mesures techniques de défense. 

De quoi les entreprises doivent-elles particulièrement tenir compte dans l'interaction entre l'humain et la technologie?

Dans toute stratégie de cybersécurité, il y a un élément central : l'humain est à la fois le plus grand facteur de risque et le plus grand facteur de protection. En fin de compte, les machines ne sont pas plus intelligentes que les personnes qui les utilisent. C'est précisément pour cette raison que la formation des professionnels et la sensibilisation à la cybersécurité sont si importantes. La meilleure stratégie de sécurité n’est pas efficace si elle n'est pas vécue par les collaborateurs. Aujourd’hui, les entreprises sont conscientes qu'elles seront tôt ou tard touchées par un incident. Il n’empêche, la visibilité et la résilience des systèmes sont essentielles.