Les cyberattaques actuelles (plus nombreuses, plus complexes, plus sophistiquées) imposent aux entreprises d’adopter une autre posture que celle consistant à un empilement de solutions de sécurité pas toujours adaptées. Les organisations doivent modifier leur positionnement en matière de sécurité et passer d’une attitude défensive axée sur les programmes malveillants à une approche à la fois stratégique, proactive et pragmatique : une approche cyber-résiliente.
La cyber-résilience consiste à gérer la sécurité en adoptant une approche qui implique les individus, les processus et la technologie. Elle impose une méthodologie à la fois solide et évolutive de gestion, d’analyse et de minimisation des risques. Elle se pose comme le meilleur garant du capital informationnel des entreprises, organisations, états et individus. A travers ses cinq piliers que sont la préparation/ l’identification, la protection, la détection, la résolution des problèmes et la récupération, il convient de se poser les bonnes questions, d’adopter les bonnes mesures et de les réévaluer à un rythme régulier et de façon pragmatique, afin de gérer au mieux les cyber-risques.
Pilier N° 1 : Préparation et identification
Pour mieux affronter et surmonter une attaque, il convient d’appréhender le positionnement de l’entreprise en matière de sécurité et de risques, en commençant par identifier les informations essentielles à son activité, puis en réalisant une évaluation de l’infrastructure et des identités, incluant l’ensemble des failles de sécurité connues. Vient ensuite la mise en place des données de référence et la comparaison des résultats à ceux d’autres entreprises. Au-delà du rôle de conseil, il convient ici pour le responsable du projet d’avoir la possibilité d’être un véritable leader qui sera le garant des informations, des décisions mais également de l’engagement réel de toutes les parties prenantes. Celles-ci devront évaluer ensemble la valeur des informations et établir la hiérarchisation de la protection. Cette phase permet d’aligner l’entreprise et le service informatique en termes de cyber-risques et de gestion, tout en favorisant un changement de culture dans le comportement des différents services.
Il convient dans cette phase de se concentrer sur les aspects suivants :
• Meilleure visibilité et compréhension des informations et systèmes par le biais de la découverte des ressources et du réseau;
• Compréhension du positionnement en matière de cyber-risques en s’appuyant sur des évaluations et des simulations;
• Identification et neutralisation des vulnérabilités au sein du service informatique, notamment la chaîne d’approvisionnement vers laquelle de nombreux cyber-criminels lancent des attaques;
• Inventaire des ressources par rapport aux relations avec les fournisseurs;
• Campagne de sensibilisation concernant les menaces extérieures et meilleure compréhension de la méthode d’identification d’une attaque en s’appuyant sur des informations exhaustives de veille relatives aux menaces à l’échelle mondiale, sur leur corrélation et sur l’analyse;
• Sensibilisation des utilisateurs à l’environnement du Web par le biais de formations régulières et continues relatives aux meilleures pratiques et aux comportements à risques;
• S’assurer de la mise en place de stratégies de sauvegarde et de récupération appropriées.
Tout repose sur une formation régulière. Dans le cadre de la préparation, il faut sensibiliser le personnel aux politiques et procédures existantes relatives à la cybersécurité et l’aider à comprendre l’importance qu’elles revêtent pour l’entreprise. Les individus qui ne sont pas experts en matière de sécurité ou pas nécessairement conscients de la valeur de certaines informations sont vulnérables aux exploitations malveillantes ou peuvent faire des erreurs coûteuses.
Pilier N° 2 : Protection
Après avoir cerné le type d’informations présentes, le lieu où elles résident, leur degré de sensibilité et de vulnérabilité ainsi que la tolérance aux risques, vient le temps des mesures nécessaires pour les protéger. Le deuxième pilier vise à développer et mettre en œuvre des mesures de protection destinées aux infrastructures et aux services stratégiques afin de limiter l’impact d’une attaque.
Très logiquement, les questions suivantes se posent : dans quelle mesure les solutions de prévention actuelles sont-elles bien gérées et actualisées ? Les systèmes de défense sont-ils prêts à protéger les informations, identités et infrastructures contre les menaces sophistiquées les plus récentes ou les failles de sécurité innovantes ? L’approche de la protection est-elle intégrée et permet-elle de mieux appréhender la situation et de répondre plus efficacement aux cyber-risques ? Les points clés ici sont la protection du ou des sites Web contre les cyber-risques, la sécurisation des systèmes stratégiques, la protection des terminaux et passerelles, y compris les mobiles et enfin, voire surtout la protection et gestion des informations tout au long de leur cycle de vie, y compris la protection contre la perte de données ou l’accès illégal.
Outre la formation et la sensibilisation des employés, les entreprises doivent surveiller l’adhésion aux politiques.
Pilier N° 3 : Détection
Ce pilier porte sur le développement et la mise en œuvre des activités appropriées afin d’identifier rapidement une attaque, évaluer les systèmes pouvant être affectés et garantir une réponse en temps voulu. Malheureusement, trop souvent, l’entreprise ne dispose d’aucune procédure en cas de réussite d’une attaque.
L’incapacité de l’organisation à réagir efficacement à la violation constitue l’une des conséquences les plus significatives liées à cette absence de préparation. Plus le délai de réponse et de résolution augmente, plus les cyber-criminels disposent de temps pour exploiter les informations de l’entreprise et lui nuire.
Lorsqu’une violation se produit, le seul moyen de limiter les dommages, consiste à mettre en place les politiques, les procédures et les solutions technologiques de détection et de résolution des problèmes qui s’imposent. Bien que de nombreuses entreprises disposent déjà de stratégies de détection et de résolution des problèmes, elles doivent régulièrement évaluer leur pertinence et déterminer si elles sont en mesure de limiter les violations et d’y remédier plus rapidement. Les gros volumes de données et les outils analytiques connexes ainsi que l’émergence du cloud, de l’informatique mobile et des réseaux sociaux permettent de traiter et d’analyser des cyber-données liées à la sécurité, qu’elles soient structurées ou non, afin de faciliter ce processus.
Il convient ici de surveiller les événements internes de sécurité et de les mettre en corrélation avec les menaces externes : comment garantir la mise à disposition des données afin de déterminer rapidement si l’entreprise a été victime d’une violation, ou à quel moment cela a été le cas. La surveillance de centaines, voire de milliers de terminaux potentiels, d’identifiants et de tentatives d’accès aux données sur un réseau actif n’est pas chose facile et c’est là qu’un service de sécurité gérée peut s’avérer utile. Les offres en matière de sécurité gérée peuvent aller de la surveillance et la hiérarchisation de la sécurité à la gestion avancée en matière de protection contre les menaces et de gestion des interventions en cas d’incidents. Elles sont susceptibles d’aider à développer une stratégie de sécurité solide permettant de se préparer, se protéger et de réagir rapidement aux cyber-attaques complexes.
L’entreprise cyber-résiliente développe un service informatique proactif disposant d’une visibilité sur l’ensemble de l’environnement et d’intégration avancée des données permettant de bénéficier d’informations, un service qui évolue et réagit en permanence aux attaques de plus en plus sophistiquées. En établissant une corrélation avec les informations de veille liées à la sécurité, le service informatique est en mesure de détecter un incident éventuel et d’y remédier rapidement avant qu’il ne se propage, réduisant ainsi les dommages et les coûts.
Pilier N° 4 : la résolution des problèmes
Ce pilier offre des conseils relatifs aux types d’activités susceptibles d’accélérer le délai de résolution des problèmes et limiter l’impact de l’attaque après que celle-ci a été détectée. Le processus de détection n’a de valeur que si le délai de réponse est rapide. Bien que de nombreuses solutions et services soient disponibles, c’est la réactivité des individus et des processus internes à l’organisation qui est importante.
Les entreprises ont besoin d’un plan de résolution des problèmes qui définisse clairement la procédure à suivre en cas d’incident. Il faut mettre en place une équipe d’intervention en cas d’incident et identifier les rôles et responsabilités de chacun. Ces rôles doivent être attribués à des membres compétents de l’organisation. Il est impératif de désigner un responsable/chef d’équipe chargé de signaler un incident, de coordonner les activités de l’équipe d’intervention et d’informer la direction de l’état de la situation.
Mieux vaut disposer d’un plan d’actions prédéfini et compréhensible par tous qui facilite la coordination des mesures d’intervention de manière plus rapide et plus efficace. L’équipe en question doit être validée par les dirigeants. Elle doit également hiérarchiser les différents types d’événements, imposer un seuil d’alerte et/ou d’intervention adapté à la gravité de l’incident/la menace.
Pour réagir rapidement, mieux vaut avoir anticiper les différentes situations : au-delà de l’élaboration de différents scénarii intégrant la formation et l’entrainement des employés, il s’agit d’avoir défini très précisément, voire automatiser, la procédure de remédiation à travers un plan. Ce plan comprendra la gestion des risques, et donc la mesure du niveau de cyber résilience initial, son suivi, la méthode utilisée face aux cyber-risques tant en termes de tests des processus que de gestion concrète, la coordination des interventions, et la bonne compréhension de l’exécution des activités d’analyses et d’atténuation des risques par l’ensemble des parties prenantes. On veillera également à intégrer les enseignements issus des tests et possibles attaques afin d’améliorer constamment les interventions futures.
Pilier N° 5 : la Récupération
Le dernier pilier porte sur la récupération. Cette étape implique le développement et la mise en œuvre des systèmes et plans appropriés pour restaurer les données et les services susceptibles d’avoir été impactés lors d’une cyber-attaque.
Malgré les efforts de préparation et de protection des entreprises, certains types d’attaques sont inévitables. Quelle que soit l’issue, les entreprises doivent être en mesure d’aider les individus à reprendre leurs activités, et à restaurer les processus et systèmes dès que possible. Et pour qu’une récupération soit performante, il faut disposer d’un plan clair et détaillé.
De nombreuses entreprises ont déjà mis en place des plans de continuité des opérations et de reprise après incident incluant sauvegarde et récupération, stockage dans le cloud, archivage hors site, data-centers redondants et géographiquement distincts ainsi que d’autres mesures relatives à la poursuite de l’activité. Toutefois, ces plans n’intègrent que rarement les pratiques et les scénarios de base recommandés en matière de reprise.
Bien que la majorité des entreprises effectuent, par exemple, des sauvegardes régulières, elles sont peu nombreuses à être informées de la nature des données qu’elles sauvegardent. Il est important de connaître quel volume d’informations sauvegardées est véritablement essentiel pour l’entreprise. En cas de catastrophe, quels informations et systèmes doivent être restaurés en priorité pour reprendre une activité normale ? Les entreprises doivent s’assurer que leurs plans de reprise répondent à ces questions.
Les data-centers redondants sont essentiels mais les aspects logistiques et géographiques peuvent affecter la capacité de basculement. Les data-centers situés à proximité les uns des autres, par exemple, ne seront d’aucune aide si une catastrophe majeure se produit dans une ville ou dans une région. Hormis les considérations d’ordre géographique, que se passe-t-il si un incident dramatique efface toute communication avec les data-centers ?
Bien que de nombreuses entreprises étudient ces possibilités dans leurs plans de récupération, la plupart se concentre sur la reprise suite à des perturbations liées à des pannes de système et des catastrophes naturelles. Ils ne couvrent pas complètement les mesures à prendre en cas de cyber-attaque majeure affectant l’ensemble de l’entreprise.
Il faut s’assurer ici de la disponibilité des systèmes stratégiques lorsqu’un incident se produit et décider de la procédure à suivre pour restaurer d’autres systèmes et données par la suite. Tout comme pour les plans de résolution des problèmes, les plans de reprise doivent être réévalués et actualisés régulièrement afin de couvrir tous les aspects liés aux risques d’une catastrophe auxquels une entreprise peut être confrontée.
Réussir la cyber-résilience
Les impacts liés à une cyber-attaque majeure peuvent être dévastateurs pour n’importe quelle entreprise. Il n’existe malheureusement aucune solution miracle pour empêcher les attaques et des violations se produiront en dépit des efforts de préparation et de protection qu’une entreprise y consacrera. Néanmoins, en observant les cinq étapes progressives qui permettent à une entreprise de tendre vers la cyber-résilience, et en ayant une approche intelligente et inchoative de la sécurité, l’entreprise en question mettra toutes les possibilités en sa possession pour gérer, et minimiser, les cyber-risques auxquels elle est confrontée, minimisant également leurs conséquences tant technologiques que financières.
Par Laurent HESLAULT, Directeur des Stratégies de sécurité, Symantec.