« Alors qu’une révolution digitale ouverte et ultra-connectée se prépare sous nos yeux, la sécurité des systèmes IT dans les entreprises est toujours sous le prisme de la détection des incidents basée sur des modèles de signature et très peu sur un système préventif en analysant le comportement (ou les techniques d’attaques) des menaces. Les outils de détection sont certes nécessaires mais ils ne sont pas suffisants car ils ne prennent pas en compte les menaces inconnues ou nouvelles. Une nouvelle souche d’un Ransoware va aisément s’affranchir du dispositif de détection par signature », prévient Charles Gengembre, responsable de la Business Unit réseaux et sécurité chez SCC. C’est d’autant plus inquiétant que les menaces se multiplient depuis quelques années avec la généralisation des Ransomware et les récentes attaques de type DDoS de grande ampleur comme l’ont subi deux grands acteurs du Cloud. Ces derniers ont en effet été attaqués via des objets connectés, notamment des caméras de vidéosurveillance. « Avec l’explosition des objets connectés, les menaces vont exploser si ces objets sont compromis. Il faut dire que pour la majorité de ces objets, la sécurité n’est pas la priorité, le développeur préférant privilégier l’usage et l’interface. Face à cela, nous sommes impuissants, il est difficile d’intervenir en amont pour alerter les concepteurs de bien appliquer les modèles de Sécurité dans les systèmes embarqués. Si des critères communs sont exigés par les RSSI pour les solutions de Sécurité. Concernant les objets connectés, les RSSI ne sont pas armés ou ne sont pas au courant des projets pour exiger ces mêmes critères (les besoins provenant principalement des métiers). La solution serait donc de se prémunir contre les failles ou des prises de contrôles en plaçant ces objets connectés dans un réseau distinct et de limiter l’interaction avec le système IT », explique Charles Gengembre.
L’accompagnement, une clé essentielle
Face à ces constats alarmants, il est nécessaire pour les entreprises d’être accompagnées dans la mise en place d’une politique de sécurité efficace et cohérente. « C’est ce que nous faisons chez SCC en aidant nos clients à déployer une politique globale. Mais nous sommes aussi réalistes, nous ne construisons pas une politique de sécurité idéalisée sur le papier. Nous nous adaptons à l’existant et aux enjeux métiers de l’entreprise via une approche technique et par le risque. Le but étant de mettre en œuvre, via notre connaissance technique du marché, les contres –mesures efficaces pour lutter contre tous types de menaces (Internes et Extenes) », reconnaît Charles Gengembre. De nombreuses entreprises disposent aujourd’hui d’une PSSI (Politique de sécurité du système d’information) plus ou moins aboutie, souvent contrainte par des règlements (GDPR, PCI-DSS, ISO 27000, etc.). Hors cadre réglementaire, ces politiques restent très perfectibles, surtout dans les PME qui n’ont pas les compétences et les ressources en interne. Et dans les grands groupes, la sécurité reste souvent cantonnée à des spécialistes. « Le thème de la sécurité est souvent accaparé par le pôle d’experts alors qu’il appartient à tout le monde. Notre rôle est donc d’élever le débat en abordant la sécurité avec tous les services de l’entreprise même si ce n’est pas simple sur le terrain », précise Charles Gengembre. Et d’ajouter : « De plus, il faut bien comprendre qu’une gouvernance est difficile à appliquer, il n’existe pas vraiment, sans un budget très important d’outils de pilotage (consolidation de dashboard, gestion des traces, analyse des signaux faibles, état de la conformité en temps réel, etc.) ».
L’importance des outils de prévention
L’accompagnement se fait aussi dans le choix des technologies. « Je prends l’exemple de l’un de nos gros clients présent dans le luxe qui disposait d’une solution de sécurité dédiée pour le poste de travail, d’une autre pour la messagerie et d’une dernière pour le web. Avec cette stratégie (best of breed), l’entreprise pensait être parfaitement protégé mais ce n’est pas le cas car les menaces évoluent et profitent souvent des failles identiques sur toutes les solutions (faille zéro day par exemple). Nous avons donc décidé d’orienter le choix technologique vers un dispositif de sécurité centralisé, Plateforme de Sécurité Globale, et unique basé sur un modèle préventif et sur des technologies intelligentes de machine learning », indique Charles Gengembre. Dans l’absolu, il n’existe pas de solution idéale pour contrer 100 % des menaces mais certains choix technologiques et l’implication des différents collaborateurs (de la formation par exemple) de l’entreprise permettent de mieux appréhender et comprendre les menaces actuelles et celles à venir.