Les cybermenaces pèsent lourdement sur les entreprises mais, si les RSSI en sont bien conscients, les bonnes pratiques, même basiques, ne sont pas encore partout appliquées. Les témoins et experts qui se sont exprimés sur la conférence « Cybersécurité : nouvelles menaces, nouvelles solutions » ont présenté ces bonnes pratiques mais n'ont pu que regretter la persistance d'insuffisances et de dysfonctionnements mettant les entreprises en péril. Cette CIOnférence a été organisée par CIO le 21 novembre 2017 au Centre d'Affaires Paris Trocadéro en partenariat avec Bitdefender, Datadome, HP, NTT Security, RSA et Zscaler.
Les principaux résultats de l'étude réalisée par CIO Quelle gestion des risques face aux défis de la cybersécurité ?, basé sur une enquête auprès d'environ 300 répondants (chiffre variable selon les questions), a révélé les manquements des entreprises. Les bonnes pratiques, même parfois les plus basiques, ne sont pas appliquées.
Améliorer le service... et la sécurité ?
« Au cours d'un déplacement professionnel aux Etats-Unis, j'ai appris qu'un concert se déroulait dans la ville dans laquelle je me trouvais. J'ai donc réservé au dernier moment un billet pour le soir même grâce à mon smartphone... Au cours de cette étape, de nombreux warnings se sont imposés à moi » s'est souvenu Pierre-Yves Popihn, Directeur Technique France, NTT Security. Si la transformation numérique n'est souvent vue que sous l'angle de l'amélioration du service et la facilitation de l'expérience utilisateur, on oublie parfois un élément essentiel : la sécurité. Qu'un site e-commerce ne soit pas en HTTPS ou ne propose pas un paiement sécurisé en respectant PCI DSS, ce n'est tout simplement pas acceptable.
Les obligations légales ne sont parfois même pas respectées, comme celles bientôt imposées par le RGPD : le chiffrement du stockage des données personnelles ou encore la mise en place d'une procédure de gestion des incidents, etc. C'est le rôle des 1500 experts de la filiale sécurité du groupe japonais NTT d'accompagner les entreprises, partout dans le monde, autour de ces sujets. Et si la sécurité n'est pas intégrée comme une préoccupation dès le début du projet, elle n'en sera que plus coûteuse à implémenter car il faudra souvent repartir de zéro.
« Transformation numérique, CyberSécurité et Ed Sheeran : un triptyque improbable » a été le thème de l'intervention de Pierre-Yves Popihn, Directeur Technique France, NTT Security.
« La cybersécurité est aujourd'hui un sujet de direction générale » a indiqué Gérôme Billois, Partner Cybersecurity & Digital Trust chez Wavestone. En effet, les menaces sont de plus en plus visibles mais aussi de plus en plus complexes à étudier et à contrer.
Gérôme Billois, Partner Cybersecurity & Digital Trust, Wavestone, a amené son expertise sur « Cybersécurité et confiance numérique ».
La protection doit contrer 100 % des cyber-attaques, pas 99%
99 % des attaques restent cependant assez classiques : malwares connus, utilisation de kits d'exploits, recours au phishing, exploitation de vulnérabilités... Les moteurs classiques, permettant l'analyse de signatures et l'analyse comportementale, sont parfaitement aptes à gérer ce genre de cyber-attaques. Vincent Meysonnet, Responsable Avant-Vente chez Bitdefender, a pointé : « le problème, c'est le 1 % restant ». Pour contrer des attaques sans fichier (basées sur des exploits javascript dans les navigateurs...) ou polymorphiques, une protection multicouche de nouvelle génération est alors nécessaire.
« Sécurité de nouvelle génération : indispensable ou simple hype ? » s'est interrogé Vincent Meysonnet, Responsable Avant-Vente chez Bitdefender.
La dépendance au SI rend les attaques plus dangereuses
Mais l'approche périmétrique aussi est dépassée à l'heure où 30 % des données sont à l'extérieur de l'entreprise, dans le cloud par exemple. Or la dépendance business à l'IT, avec la transformation numérique, rend les cyber-attaques d'autant plus redoutables : si le SI est attaqué, c'est bien l'entreprise même qui peut disparaître. Le niveau de risque s'accroît. « Nous proposons donc une plate-forme de sécurité 100 % cloud pour que la sécurité soit extérieure aux infrastructures » a indiqué Ivan Rogissart, Directeur Avant-Vente Europe du Sud chez Zscaler.
Ivan Rogissart, Directeur Avant-Vente Europe du Sud chez Zscaler a répondu à une question bien d'actualité : « Cloud, Mobilité, Menaces Avancées : quels sont les impacts sur la sécurité du SI ? ».
« Réagir aux nouvelles menaces » a été d'ailleurs le thème de la première table ronde de la matinée. Celle-ci réunissait Philippe Loudenot (Fonctionnaire de Sécurité des Systèmes d'Information, Ministères Sociaux) et Stéphane Nappo (Global Chief Information Security Officer & Board Advisor, Société Générale IBFS) qui ont témoigné de leurs pratiques.
La première table ronde, « Réagir aux nouvelles menaces », a réuni Philippe Loudenot (Fonctionnaire de Sécurité des Systèmes d'Information, Ministères Sociaux) et Stéphane Nappo (Global Chief Information Security Officer & Board Advisor, Société Générale IBFS).
Gagner la course
Le sous-titre de la conférence, « les RSSI réagissent-ils aussi vite que les hackers ? », a fait réagir Palakiyem Assish, Senior Pre-sales Engineer chez RSA Netwitness. Pour lui, malgré les outils en place, les compromissions sont souvent détectées par des tiers à l'entreprise victime. Il en a déduit : « notre objectif est de vous faire réagir plus vite que les hackers car plus le temps passe et plus les dégâts seront importants. » Bien sûr, il faut faire de la prévention (anti-virus, firewall...), de la détection (SIEM...)... mais il faut aussi analyser la fameuse « zone blanche », là où il n'y a pas de traces. Cela nécessite une visibilité totale, 360°, sur le trafic réel avec une étude de l'ampleur d'une attaque et de l'impact business induit. Seule cette visibilité peut supprimer le gap entre la vision business orientée impact sur le chiffre d'affaires et la vision technique.
Palakiyem Assish, Senior Pre-sales Engineer chez RSA Netwitness, a expliqué « L'évolution du SIEM au-delà des Logs ».
600 milliards de dollars
Cet impact a été chiffré par Christophe Demagny, Senior Security Consultant chez HP : 600 milliards de dollars en 2021. Il faut en effet comprendre l'évolution de l'adversaire, qui se professionnalise et s'organise, et des cyber-attaques toujours plus sophistiquées. Les attaques se rapprochent ainsi toujours plus des niveaux bas, du matériel, via le BIOS ou les firmwares. Les imprimantes multifonctions étant en effet avant tout de véritables serveurs informatiques, il faut songer à les sécuriser, comme tous les autres terminaux, là où la plupart des attaques ont lieu.
« Mise en place d'une stratégie Cyber Résiliente : Gérer la sécurité commence par le matériel » a insisté Christophe Demagny, Senior Security Consultant chez HP.
Et le RGPD ?
Difficile de parler sécurité des données, à l'approche de mai 2018, sans aborder sérieusement le RGPD et la fameuse amende de 4 % du chiffre d'affaires encourue par les entreprises non-conformes. Or, parmi les éléments contre lesquels les utilisateurs doivent être garantis, il y a l'usurpation de compte ou d'identité, en anglais l'account takeover. A l'heure actuelle, des robots parcourent sans cesse le web, multipliant les attaques en force brute pour tester des centaines de millions de combinaisons identifiants/mots de passe et accéder aux parties privées des sites web, avec un taux de réussite de 8 %. « Un de nos clients a décidé de s'équiper d'une solution de protection contre les bots après avoir constaté des tentatives d'usurpation de compte très sophistiquées » a affirmé Benjamin Barrier, Partner & Chief Sales Officer chez DataDome. Certains robots sont utiles comme, par exemple, les outils d'indexation de Google. Certains robots hostiles en profitent toutefois pour essayer de se faire passer pour les robots de Google et profiter des facilités d'accès qui leur sont accordées. Distinguer avec précision les robots les uns des autres est donc tout à fait essentiel.
Benjamin Barrier, Partner & Chief Sales Officer chez Datadome, a détaillé : « Cybersécurité et RGPD au coeur des enjeux business - Comment transformer la menace des bots en nouvelles opportunités de croissance ».
Se penchant sur l'évolution du rôle du RSSI et du CISO, la seconde table ronde a réuni Henri d'Agrain (Délégué Général, CIGREF), Mahmoud Denfer (Global Chief Information Security Officer, Vallourec) et José Perez (Chief Information Security Officer France & Afrique, Allianz).
La seconde table ronde « Comment évolue le rôle du RSSI ou du CISO ? » a réuni Henri d'Agrain (Délégué Général, CIGREF), Mahmoud Denfer (Global Chief Information Security Officer, Vallourec) et José Perez (Chief Information Security Officer France & Afrique, Allianz).