La question n’est plus de savoir si on va subir une attaque mais quand ! Voici qui résume en quelques mots le contexte pour les entreprises s’agissant de cyber sécurité. L’Usine Digitale a invité à l’occasion de sa dernière conférence sur le sujet des experts pour en débattre et apporter des solutions.
79% des entreprises françaises ont constaté au moins 1 à 3 cyber-attaques en 2017*. Et les violations concernent massivement le vol de données. Les entreprises doivent donc s’attendre à être attaquées et ont l’obligation d’anticiper. C’est d’ailleurs une des contraintes imposées par le nouveau règlement général sur la protection des données, ou RGPD, entré en vigueur le 25 mai dernier. En effet, les entreprises ont l’obligation de protéger les données à caractère personnel et en sont responsables. Elles doivent donc être en mesure de les protéger mais aussi de pouvoir détecter une attaque et informer les personnes concernées en cas de vol de données, par exemple. L’explosion des attaques et ces nouvelles règlementations ont un autre impact, positif cette fois pour les entreprises qui prendraient à bras le corps ces questions de cybersécurité. En effet, la mise en conformité et le fait de mettre en place un vrai protocole de sécurité devient un argument de compétitivité. C’est un élément qui permet de gagner des contrats. « Quand la sécurité est prise en compte, ça permet aussi de développer le business » affirmait Didier Henin, RSSI et Chef Information Security Officer chez BUT à l’occasion de la dernière conférence L’usine Digitale « Optimisez votre stratégie cyber dans le nouveau contexte règlementaire - #UDCybersecu ». La sécurité est donc devenue un enjeu majeur pour les entreprises qui doivent mettre en place un plan de sécurité. Pour cela, elles devront entre autres travailler sur le facteur humain et sur leur équipement.
L’humain au cœur de la cyber sécurité ?
La sécurité informatique, tout le monde sait ce que c’est, tout le monde a entendu parler des attaques, beaucoup ont été victimes dans leur vie personnelle ou professionnelle mais personne ne veut se donner les moyens de se protéger, pour diverses raisons qui vont d’une naïveté difficilement explicable à une volonté bien affirmée de ne pas s’ajouter de contraintes, car bien sûr sécurité rime avec perte de liberté ! Les trois experts rassemblés à la table ronde « Comment agir sur le facteur humain dans votre stratégie cyber ? » se rejoignaient sur ce constat. Tiphaine Romand-Latapie, Chef de l’équipe d’évaluation Airbus Digital Security, qui a également travaillé chez Orange, explique : « Les gens sont attentifs lorsqu’il s’agit de fermer leur porte à clé ou de protéger leur code de carte bancaire mais pas quand il s’agit de cybersécurité, il y a un grand décalage. » Philippe Loudenot, Fonctionnaire de Sécurité des Ministères Sociaux et Administrateur du CESIN ajoute : « Il faut sensibiliser les gens et leur faire prendre conscience des dangers. Pour cela, il faut montrer des cas concrets, des pannes et montrer les conséquences. » Il participe pour cela à de nombreux colloques durant lesquels il prend conscience de cette sorte de laxisme lorsqu’il est question de sécurité informatique. « Il m’arrive de tester les personnes présentes aux colloques auxquels je suis convié. Prétextant une expérience, je leur demande leur mot de passe de messagerie. Et ils me le communiquent sans se poser plus de questions ! Me donneraient-ils aussi facilement leur code de carte bleu ? Tous conviennent que non ! »
Pour renforcer la sécurité informatique en entreprise, il faut donc sensibiliser les collaborateurs. Il existe des outils. Tiphaine Romand-Latapie a été jusqu’à imaginer un jeu de rôle : « Donjons, Dragons et Sécurité » qui a rencontré un franc succès. La société Weave propose elle des outils de design fiction et d’immersion qui permettent de se projeter dans le futur avec des scénarii de cybersécurité. Mais il faut aller plus loin car comme l’explique Tiphaine Romand-Latapie « Les basiques ne sont pas mis en place par les employés. Ils n’ont pas conscience des dangers et font preuve d’une sorte de naïveté. En prime, la sécurité est vue comme une contrainte. » En effet, il faut une évolution des mentalités. La sécurité ne doit pas être basée sur la contrainte. Elle est là pour évaluer les risques et accompagner les équipes pendant tout le projet. Si elle est trop contraignante, elle sera contournée. Il faut donc que la sécurité fasse partie du projet. Pour Philippe Loudenot, « En cybersécurité, c’est comme en médecine, le préventif coûte moins cher que le curatif ».
Tous partagent l’idée que dans l’entreprise, l’objectif pour un RSSI est de faire en sorte que les équipes de sécurité IT soient consultées au tout début d’un projet et que les équipes métier remontent bénévolement et spontanément les incidents à l’IT. Pour Bertrand Helfre, Weave, également présent, il faut aussi une prise en considération du top management. Ils sont porteurs du risque et juridiquement responsables.
Securité by design
Être en conformité avec les règlementations et la législation, sensibiliser les utilisateurs, mettre en place des solutions de détection d’attaques et des protocoles de manière à réagir au mieux et au plus vite suite à une attaque… Voici quelques pistes pour protéger une entreprise des cybermenaces. Il y en a une autre prônée notamment par HP qui milite pour que la sécurité se fasse aussi au niveau des appareils. « La ligne de front de la cybersécurité est le matériel car les périphériques sont en première ligne » explique Leyla Ertürk, Solutions & Security Category Manager HP France. Elle rappelle qu’entre 2009 et 2015, il y a eu une augmentation de 130% des intrusions impliquant le matériel d’un utilisateur**. En parallèle, les hackers ont évolué dans leur manière de procéder. Ils exploitent les failles au niveau des logiciels mais aussi au niveau des accès physiques comme les ports USB. Et bien sûr, ils exploitent l’humain avec des techniques comme le Phishing.
Pour HP, la sécurité doit donc passer par le matériel et le choix initial du matériel est en soit déjà une première décision de sécurité. Au niveau des PC, la sécurisation est triple. Elle passe par une protection du système et notamment du BIOS avec HP Sure Start, une solution certifiée par l’ANSII. Concrètement, un microcontrôleur présent dans la carte mère du produit, vérifie le BIOS au démarrage avant qu’il soit chargé dans le CPU. Cela permet, en cas de problème détecté, de protéger l’ordinateur. Sure Start prévoit également une auto réparation et une récupération automatique du BIOS. Viennent compléter d’autres solutions et notamment celles assurant la sécurité des données avec HP Sure View qui protège contre l’espionnage visuel et Sure Click qui sécurise le navigateur web. Concernant la sécurité de l’identité, HP propose WorkWise, un système intelligent qui permet de verrouiller son PC automatiquement lorsqu’on s’en éloigne, HP Spare Key et HP Device Access Manager qui permet d’ouvrir un accès ponctuel aux ports et périphériques sans exposer l’appareil.
La sécurité concerne également les imprimantes que l’on a tendance à oublier. Les imprimantes HP profitent de Sure Start mais aussi de la protection du firmware HP Whitelisting, de la mémoire avec HP Run-Time intrusdion detection, du réseau avec HP Connection Inspector et enfin de l’infrastructure avec HP Security Manager. « Nos solutions apportent une sécurité de bout en bout pour une vraie cyber résilience » conclut Leyla Ertürk.
*OpinionWay pour le Club des Experts de la Sécurité de l’Information et du Numérique, « Baromètre de la cyber-sécurité des entreprises », Janvier 2018
**Verizon, 2016 Data Breach Investigations Report, 2016
