« La cyber-résilience ne commence pas une fois l’attaque entrée dans le SI »

Les RSSI et autres managers cybersécurité partagent leurs pratiques et retours d’expérience au sein du Club des Experts de la Sécurité de l’Information et du Numérique (Cesin). Son président, Alain Bouillé, dresse un état des lieux lucide des risques encourus par les entreprises au vu du manque de maturité des utilisateurs comme de la banalisation du cloud et du tout numérique. Il donne des clés pour améliorer la cyber-résilience de l’entreprise.

Pouvez-vous rappeler ce qu’est le Cesin, ses missions et ses actions ? Quel est votre rôle au sein de ce club ?

La création du club remonte à six ans. À l’époque, toutes les professions du numérique au sens large s’étaient organisées au sein de différents clubs (les DSI, les correspondants informatique et liberté, les CTO …). Cela n’était pas le cas des RSSI, ce qui ne facilitait ni les partages d’expérience ni la promotion de ce métier d’avenir. Une trentaine de membres ont alors spontanément adhéré.
Aujourd’hui, nous sommes plus de 500, ce qui en fait une organisation représentative de la profession. Ces responsables sécurité viennent de tous les horizons : grandes entreprises, administrations, mais aussi ETI et même parfois PME. Une hétérogénéité qui nous amène à aborder tous les sujets, des fondamentaux aux sujets les plus opérationnels, en passant par les sujets de fond comme la souveraineté numérique. Nous organisons un événement mensuel sur tous ces sujets auquel assistent plus d’une centaine d’adhérents à chaque occurrence. Notre agenda reste cependant adaptable en fonction de l’actualité. Nous coopérons également avec l’ensemble de l’écosystème du secteur, notamment les autres associations du domaine, l’Anssi, la Cnil, la Gendarmerie…
Au-delà de la seule profession, ces actions visent à diffuser la prise de conscience de la sécurité numérique dans toute l’entreprise.

Selon certaines études, 90 % des entreprises ont été attaquées l’année dernière. Selon d’autres, le nombre de malwares a explosé, passant de 90 000 par mois dans les années 90 à 360 000 virus uniques par jour aujourd’hui. Que constatez-vous sur le terrain ? Pourquoi cette croissance des attaques ?

On numérise tout du sol au plafond ! La digitalisation en cours des entreprises étend notablement la surface d’attaque. Même constat en ce qui concerne le recours de plus en plus poussé au cloud public.
Il y a encore peu, quand les logiciels restaient à l’intérieur de l’entreprise et donc les données stockées également, les résultats d’une analyse de risques sur la donnée comptable, par exemple, décrivaient un état des lieux relativement simple en matière de couverture des risques, essentiellement internes. Quand cette même donnée bascule sur le cloud public, le niveau de risque est démultiplié. Parallèlement, les attaquants ont industrialisé leurs méthodes et leurs outils. Et ce, sans parler d’attaques menées par des armées de hackers, parfois organisées par des États. Ces trois facteurs se conjuguent pour aggraver le risque.
Parallèlement, le comportement des utilisateurs évolue vers une vigilance accrue de manière beaucoup trop lente.
Les résultats de notre quatrième baromètre annuel, mené auprès de nos adhérents en 2018, ont montré que le mode d’attaque le plus fréquent restait le phishing – 73 % des entreprises en ont été victimes -, suivi, ce qui reste plus surprenant, par « l’arnaque au président », que l’on croyait en extinction alors qu’elle touche encore une entreprise sur deux en 2018. Le ransomware est au troisième rang avec 44 % d’entreprises concernées, suivi par le social engineering (40 %).
À noter dans ce panorama que le vol massif de données n’est pas un sujet directement prégnant pour nos membres, celui-ci restant l’apanage des grands acteurs du cloud avec une conséquence indirecte sur l’augmentation du risque d’usurpation d’identité dans les entreprises.

La plupart des grandes et moyennes entreprises ont mis en place des PRA et autres moyens de continuité d’activité pour survivre aux sinistres informatiques. Sont-ils efficaces face aux nouvelles typologies d’attaques ?

Paradoxalement, c’est même l’inverse. Les sites miroirs sont aussi devenus l’un des « meilleurs » moyens pour se faire crypter ses données de production et de sauvegarde simultanément. Un petit rappel historique s’impose. Les plans de reprise ou de continuité d’activité se sont généralisés au début des années 2000 après l’incendie du Crédit Lyonnais. Des solutions bien adaptées pour répondre à ce type de sinistre, mais pas pensées pour continuer l’activité suite à une cyber-attaque détruisant tout sur son passage.
Encore une fois, les derniers cas de cryptolockers massifs illustrent malheureusement cette inadéquation. L’IT d’une entreprise peut être détruite massivement sans aucune action physique, sans incendie, sans destruction de matériel…
En outre, la sécurité exclusivement périmétrique ne suffit plus. Un seul clic d’un seul collaborateur à l’autre bout du monde peut ouvrir une brèche.

Vous évoquiez notamment la banalisation du cloud ? Que pense un RSSI du cloud en termes de sécurité ?

Tout d’abord lorsqu’on évoque les risques du cloud, il s’agit bien évidemment du cloud « public ». Aujourd’hui celui-ci se traduit par une forte dépendance envers les GAFAM : le rapport de force entre le client et le fournisseur reste pour le moins peu équilibré. Il y a quelques années, lorsque vous passiez un contrat d’externalisation avec une ESN locale, les audits de contrôle des aspects de sécurité étaient possibles. Avec ces grands acteurs, vous n’avez pas d’autre choix que de leur faire confiance.
En dehors de cet aspect, la démarche présente d’autres risques. Tous ces acteurs sont américains. Si les États-Unis subissent une cyber-attaque massive, l’Europe, ou du moins les SI basés sur le cloud public américain, s’arrêteront.
L’aspect légal représente encore un risque supplémentaire. Les lois extraterritoriales américaines donnent le pouvoir à son administration d’accéder aux données gérées par toutes les entreprises américaines, quelle que soit leur implantation dans le monde. Un danger d’autant plus important, en termes de fuite de données, qu’il est parfois impossible de savoir quelles sont celles exposées dans le cloud public. Quand vous passez votre CRM sur celui-ci, vous savez ce que vous externalisez. En revanche, s’il s’agit de la messagerie, vous ne savez pas ce que vont contenir les messages.
Enfin, sur un plan purement technique, le niveau de sécurisation du cloud public reste limité à ce jour, du moins pour les clients les plus exigeants. Le succès d’éditeurs spécialisés de type CASB le démontre. Cela dit, le recours au cloud public a au moins l’avantage en matière de sécurité d’avoir poussé les entreprises à prendre conscience de la valeur de leurs données.

Au vu de cet existant, que faire ? Quelles sont les actions organisationnelles et techniques à mettre en place ?

Un premier constat s’impose. Aujourd’hui, garantir une sécurité à 100 % est impossible. Il faut faire des choix, les professionnels en ont conscience. De moins en moins de nos adhérents sont confiants dans leur capacité à répondre à une attaque d’ampleur.
La rapidité de réaction est l’élément clé. Doit-on rappeler le nombre d’entreprises qui ne se sont rendues compte qu’au bout de plusieurs semaines, voire de plusieurs mois, qu’elles étaient attaquées ? La mise en place d’un SOC (Security Operating Center) s’impose sous peine de rester durablement aveugle. En fonction des besoins, celui-ci pourra être totalement internalisé, ou encore opéré par un prestataire externe tout en reposant sur des solutions internes, ou complètement externalisé auprès de spécialistes chargés de détecter et d’envoyer les alertes au client. La question n’est pas tant de savoir qui opère le SOC, mais plutôt de connaître son efficacité dans le temps. C’est une question de réglage fin, de coups de tournevis.
En amont de ce dispositif, il faut bien entendu disposer d’une première ligne de défense équipée des outils de protection les plus performants en plus des briques classiques (pare-feu, etc.). Par exemple, il faut s’assurer du niveau de sécurité de son Active Directory, l’un des composants les plus fragiles et les plus attaqués des SI. Enfin, des audits réguliers doivent être menés pour vérifier la qualité de cette organisation.

Et pour la composante humaine ?

Les comportements des collaborateurs sont encore loin de la maturité requise eu égard à la richesse des outils qu’on leur met entre les mains. Il faut bien entendu former les utilisateurs au bon usage de ces outils, mais il faudrait presque mettre en place un permis numérique à points pour les comportements les plus légers !
La démarche ne s’arrête pas aux collaborateurs internes, mais concerne également les intervenants sur le SI au sens large. Forts de l’expérience d’externalisation, les gros contrats incluent des clauses liées à la sécurité des opérateurs.
Cependant, ceux passés pour des petites applications SaaS (notes de frais, etc.) sont souvent pauvres voire inexistants en termes de clauses de sécurité. Il faut être vigilant à ce que ces « petits services non coeur de business » ne fassent courir un nouveau risque à l’organisation. Ces comportements se doivent de changer.
En résumé, les actions se déclinent sur la prévention (sensibilisation par exemple), la protection avec les meilleurs outils et l’organisation la plus efficiente, la détection, la réaction, et parfois même la reconstruction en cas d’attaques de grande ampleur.

Vous disiez que, même avec toutes ces mesures, éviter une cyber-attaque demeure illusoire. Comment assurer une cyber-résilience ?

À mon sens, la cyber-résilience ne commence pas une fois l’attaque entrée dans le SI. Elle doit reposer sur un dispositif tel que décrit plus haut. Lorsque, malheureusement, ces dispositifs ont été mis à mal, il faut passer par plusieurs points. Il s’agit d’abord d’organiser un mode de fonctionnement rustique. Pas question de rebâtir un énième sanctuaire avec des données à mettre en place ce type d’actions pour assurer la cyber-résilience et le Cesin va travailler en particulier sur cette question en 2019.

Les défis auxquels sont confrontés les RSSI sont immenses. Comment travaillez-vous avec les DSI pour les relever ?

Même si les objectifs sont parfois divergents, même si les relations restent parfois compliquées, nous travaillons de mieux en mieux ensemble. L’intégration des DSI dans les Comex donne plus de poids aux sujets SI et, par ricochet, aux sujets sécurité. En effet, les RSSI demeurent encore majoritairement sous la dépendance hiérarchique des DSI, ce qui pose un problème d’indépendance dans les avis. Dans l’idéal, le RSSI devrait dépendre d’un membre du Comex qui ne soit pas le DSI. Les attaques récentes nous rapprochent et le sujet du prochain congrès du Cesin, sur le « Cloud First », devrait intéresser aussi les DSI.

Le parcours d’Alain Bouillé
Depuis 2012 : Président du CESIN
Depuis 2001 : Directeur Sécurité des SI, Groupe Caisse des Dépôts
1999-2001 : RSSI, Groupe La Poste
1988-1999 : CSO, JP Morgan

Propos recueillis par : PATRICK BRÉBION
Photos :  MÉLANIE ROBIN

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !