Selon le Cloud Industry Forum, le taux d'adoption du cloud dans le secteur public a atteint 78% en 2017 (au Royaume-Uni). Cette tendance est encourageante, car elle montre que le secteur public s'oriente vers l'adoption des technologies numériques dans le cloud, mais on doit se demander si les protocoles de cyber-sécurité actuels sont adaptés à ce nouveau type d'environnement. En France, la Revue stratégique cyberdéfense a émis plusieurs recommandations en ce sens, elle propose notamment d'établir une politique globale de l'Etat de recours au cloud, d'encourager le développement de solutions de chiffrement pour le cloud et d'établir un cadre de confiance global afin d'orienter le marché vers des produits qualifiés par l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
La sécurisation du BYOD en première ligne
La plupart des employés des entreprises publiques et privées ont au moins deux équipements connectés au réseau de l'entreprise : un smartphone personnel et un ordinateur (souvent portable). Même si l'entreprise a déployé une sécurité performante de son réseau, ces équipements permettent aux utilisateurs de télécharger les informations confidentielles hébergées sur un serveur cloud à travers un réseau différent de celui de l'entreprise (et moins bien sécurisé que celui-ci). Selon CompTIA, 52% des atteintes aux données sont imputables à une action humaine.
Bien entendu, les entreprises peuvent rappeler à leurs employés l’importance de ne pas partager les informations confidentielles via des connexions ou réseaux non sécurisées, mais elles doivent également s'efforcer de déterminer QUI a consulté QUELLES informations dans leur environnement cloud. Cette démarche est particulièrement efficace pour identifier le responsable volontaire ou non d’une fuite de données. Les technologies de gestion de l'historique des données (ou data lineage) permettent d'identifier les personnes qui consultent, copient ou modifient des données. De son côté, l'analyse des big data permet de repérer les activités anormales de différents individus ou groupes de l’entreprise. Par exemple, si une personne fait sortir plusieurs téraoctets de données de l'entreprise, ou consulte à plusieurs reprises des informations qui ne sont pas nécessaires à ses activités, le système de sécurité peut détecter ces opérations et alerter les responsables. L'avantage de l'automatisation réside dans le fait que le système peut évoluer de manière à détecter les opérations de cette nature à l'échelle de l'entreprise beaucoup plus efficacement que les opérateurs humains.
Les attaques par DDoS montent toujours en puissance
Selon des études récentes de Corero Network Security, les entreprises américaines ont été touchées par 237 attaques DDoS par mois en moyenne au troisième trimestre 2017 – soit une augmentation de 91 % par rapport au premier trimestre 2017. Ces observations démontrent que ce type de cyberattaque reste très populaire et constitue une menace réelle pour les entreprises des secteurs public et privé.
Les dommages causés par les temps d'indisponibilité pour le secteur public ne sont pas seulement financiers : ils peuvent aussi nuire gravement à la prestation de services publics essentiels. Les cyber-attaques perpétrées en 2007 contre l'Estonie ont touché le parlement, plusieurs organes de presse, des banques et présenté une menace d'une ampleur sans précédent pour la sécurité de ce pays. Avec la numérisation inexorable de services tels que la santé et les transports, il n'est pas difficile d'imaginer le chaos potentiel d'une attaque DDoS qui déconnecterait un réseau infrastructurel critique. Cette situation n'est pas inéluctable : il existe des logiciels spécialisés dans l'atténuation en temps réel de ces risques. Ces logiciels s'appuient sur l'analyse des big data pour identifier et bloquer les adresses IP qui génèrent des requêtes suspectes et/ou répétées. Dans certains cas, la taille du botnet engagé dans l'attaque DDoS peut se retourner contre celle-ci : les volumes de données fournis par les robots aident le système informatique intelligent à détecter et bloquer les menaces actuelles et futures.
Comparé à la riposte traditionnelle aux attaques DDoS, qui consistait à bloquer toutes les connexions au service, le blocage limité aux adresses IP suspectes permet à la majorité des utilisateurs de continuer à accéder au réseau sans subir de perturbations significatives. Le machine learning et le traitement des big data constituent l'épine dorsale de ce processus, qui permet aux systèmes IT de supporter la charge de l'analyse, de la catégorisation et détection des structures de différentes adresses IP.
Des malwares à l'hôpital
Il suffit de revenir quelques mois en arrière et de considérer les attaques de logiciels malveillants contre le secteur public (Petya, NotPetya et WannaCry) pour constater le chaos que les chevaux de Troie avec rançongiciel peuvent provoquer. Dans les hôpitaux anglais du NHS victimes de ces attaques, les médecins ne pouvaient plus accéder aux dossiers des patients, rédiger des ordonnances ou programmer des tests essentiels – ce qui a entraîné des retards dans les traitements et de sérieux risques pour les patients. Les attaques avec demande de rançon vont sans doute se multiplier. Elles augmentent en volume et en complexité, et en l'absence d'une approche analytique plus efficace, le secteur public risque de devenir la proie de multiples attaques à l'avenir.
Par contraste avec les attaques DDoS, les logiciels malveillants sont plus difficiles à repérer. Lorsqu'une menace par logiciel malveillant apparaît, certains éléments d'information gardent une certaine cohérence (il peut s'agir d'un comportement récurrent ou d'octets physiques de code). Ces éléments d'information peuvent généralement être détectés par les opérateurs humains, mais les logiciels malveillants ne cessent de s'adapter et d'évoluer en conséquence – ce qui empêche de suivre leurs signatures manuellement. L'analyse des big data, qui permet d'examiner un éventail beaucoup plus large de données, est plus efficace pour la détection des tendances et des macrostructures des logiciels malveillants, ce qui aide les experts en sécurité à détecter et éradiquer ceux-ci.
Intégration et analyse des données au service d'une transformation digitale sécurisée
Mais si les big data permettent de « prévenir plutôt que guérir », il n'en reste pas moins qu'une gestion efficace des données reste le fil conducteur indispensable à la solution. Il est impératif de regrouper sous un format cohérent tous les flux de données provenant de différents serveurs et différents systèmes : sinon, il est impossible d'effectuer des analyses à grande échelle. La menace des cyberattaques ne devrait pas dissuader le secteur public d'adopter des technologies pilotées par les données et hébergées dans le cloud. Les avantages potentiels et la polyvalence d'application de ces technologies - des dossiers médicaux centralisés à la gestion urbaine pilotée par des capteurs - sont difficiles à ignorer. Pendant le processus de transformation numérique, les entreprises du secteur public doivent toutefois s'assurer qu'elles réservent des ressources pour le déploiement des outils d'intégration et d'analyse des données nécessaires à leur technologie numérique et à des systèmes de cybersécurité performants.