Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité numérique & sécurité économique : quelles implications pour les PME/ETI ?

juin 2017 par Emmanuelle Lamandé

La transformation numérique offre de nombreuses opportunités pour l’ensemble des acteurs de la société et surtout pour le secteur économique. Revers de la médaille : des menaces extrêmement variées et des risques majeurs pèsent aujourd’hui sur les intérêts économiques de la Nation et des entreprises. L’ingénierie criminelle n’a jamais été aussi créative qu’avec le recours massif aux outils numériques. Chaque année, un nombre croissant d’entreprises sont d’ailleurs victimes de cyberattaques et de captations d’informations stratégiques, affectant directement leurs savoirs et savoir-faire. Et l’actualité récente en témoigne... Face à ces risques et aux enjeux inhérents, l’ANSSI a coorganisé un colloque dédié à Rennes, aux côtés du SISSE, du Bureau sécurité économique de l’EMIZ Ouest, du service du haut fonctionnaire de défense et de sécurité de Bercy et de la CCI 35, animé par Sébastien Garnault, Fondateur de Garnault Associés, afin d’éclairer les dirigeants de PME et ETI de la région quant à ces problématiques et de leur apporter des réponses pratiques.

La sécurité numérique et la sécurité économique représentent une question majeure pour l’État et l’ensemble des entreprises, souligne Christophe Mirmand, Préfet d’Ille-et-Vilaine, préfet de la région Bretagne, préfet de la zone de défense et la sécurité Ouest. D’autant que l’actualité récente, avec la cyberattaque Wannacry, a démontré l’acuité de la menace. Plus de 200 000 ordinateurs ont été touchés dans 150 pays. On observe d’ailleurs de manière globale une hausse des cyber-risques pour les entreprises et l’État. En décembre 2016, la Centrale de Kiev a subi une panne électrique pendant près d’une heure, suite à un acte de malveillance. Cet exemple montre bien l’étendue des risques et des conséquences qui peuvent s’avérer particulièrement lourdes. C’est pourquoi il est aujourd’hui essentiel que chacun à son niveau (État, entreprise, particulier) réhausse sa garde et sa vigilance, et mette à niveau ses systèmes.
De son côté, l’État dispose d’un certain nombre de mesures et de moyens de protection, à commencer par celle du Secret de défense nationale. Une entreprise doit, en effet, protéger ses actifs classifiés. Concernant la sécurité de ses infrastructures d’importance vitale, l’État peut s’appuyer sur le dispositif SAIV (Sécurité des activités d’importance vitale) inscrit dans le Code de la défense, ainsi que sur la Loi de Programmation Militaire (LPM). Il bénéficie, en outre, d’un dispositif de Protection du Potentiel Scientifique et Technique de la Nation (PPST).
Chaque entreprise doit, quant à elle, mener aujourd’hui une réflexion relative à ses informations stratégiques, mais aussi aux menaces et risques qui pèsent sur elles. D’autant que son activité économique, sa compétitivité, ses emplois… reposent sur sa capacité à protéger ses actifs, et donc à se prémunir contre tout type d’attaque. De plus, les meilleurs dispositifs ne peuvent pas être efficaces sans les hommes et les femmes qui sont derrière. C’est pourquoi les actions de formation et de sensibilisation doivent être renforcées aux niveaux national et local, explique Christophe Mirmand. L’objectif de ce colloque va d’ailleurs en ce sens : permettre aux entreprises de la région d’approfondir la connaissance des vulnérabilités et menaces auxquelles elles sont exposées, mais aussi leur donner les moyens de s’en prémunir.

Chaque entreprise doit connaître ses données stratégiques et analyser ses risques

L’ANSSI est également aujourd’hui en mesure d’apporter une action de proximité, via la présence en régions de ses référents territoriaux notamment, souligne Yves Verhoeven, Sous-directeur relations extérieures et coordination de l’ANSSI. Toutefois, il reste difficile pour l’Agence de traiter l’ensemble des cas de cyberattaques et d’aider toutes les victimes en France. D’où la mise sur pied du dispositif d’assistance ACYMA, qui permet à chaque entreprise victime de trouver un point de contact et d’assistance au plus près de l’endroit où elle se trouve. L’objectif est, de plus, aujourd’hui de sensibiliser le plus grand nombre. Pour ce faire, les services de la Préfecture peuvent également prendre le relais.

Christophe Mirmand souligne en ce sens quelques bonnes pratiques valables pour tous :
- Etablir une charte de bonnes conduites ;
- Former les experts et l’ensemble des acteurs ;
- Identifier les personnes compétentes au sein de sa structure ;
- Procéder régulièrement à des analyses de risques et mettre en place les mesures de prévention nécessaires ;
- Intégrer les différentes mesures de sécurité dans le fonctionnement quotidien des services…

Yves Verhoeven recommande également d’identifier les données, les systèmes et les processus qui nécessitent une protection particulière. Les différents types d’informations nécessitent, en effet, des niveaux de protection adaptés. L’élément clé de toute démarche repose, selon lui, sur l’analyse de risques. Ensuite viendront les choix et la mise en place des mesures de sécurité acceptables pour l’entreprise. De plus, ce sont les bonnes personnes qui doivent prendre les décisions. Le traitement des risques cyber doit être conjoint entre les experts sécurité et les métiers. Il faut, en outre, une approche rationnelle et surtout ne pas oublier que la cybersécurité est l’affaire de tous. Les décideurs doivent s’approprier le sujet et intégrer ces risques. A titre d’exemple, une préfecture ne pourrait pas assurer son activité si son réseau était dégradé. D’où l’importance de diffuser une culture du risque au sein de chaque entreprise et de mettre en place des outils avec des droits d’accès, du matériel durci dédié…

L’ANSSI identifie aujourd’hui 4 grands types de menaces :
- La déstabilisation, qui s’avère une menace importante, avec un impact souvent critique ;
- Les menaces de type cybercriminalité, avec comme grande tendance le phénomène des ransomwares ;
- L’espionnage, qui repose généralement sur un mode opératoire sophistiqué ;
- Le sabotage, via des outils comme Stuxnet, qui ont un impact souvent colossal.

Face à ces menaces, les règles imposées aux OIV sont de saines mesures de sécurité, qui peuvent d’ailleurs plus largement inspirer toutes les entreprises. Toutefois, une logique d’accompagnement, d’aide et de conseils est véritablement nécessaire, afin de les accompagner dans cette évolution, souligne Christophe Mirmand. La sécurité d’une entreprise nécessite de plus la maîtrise de son environnement, explique Jean-Baptiste Carpentier, Commissaire à l’information stratégique et à la sécurité économiques. Outre l’aspect économique, elle doit assurer sa compliance, sa protection contre les agressions extérieures, la concurrence…, être capable d’influencer les décideurs nationaux, mettre en place une politique de sécurité dédiée... Chaque entreprise doit, de plus, savoir avec quels acteurs (prestataires, partenaires, investisseurs…) elle travaille et qui veut entrer dans son capital. La France est un acteur de compétitivité mondiale, qui doit préserver sa politique d’attractivité des investissements étrangers, tout en restant vigilante. Il est, en outre, essentiel que chaque entreprise connaisse ses données stratégiques. Les services de l’État participent à la protection des entreprises et les accompagnent dans cette démarche.

La protection bâtimentaire : un fondamental à ne pas négliger

Pour Gwendal Chevalier, Ministère de l’Intérieur, DGSI 35, l’espionnage est avant tout économique. Les assaillants sont les États, vos concurrents… De plus, il faut partir du principe que tout ce qu’on peut imaginer aujourd’hui est réellement possible et faisable. D’autant que les attaquants sont ingénieux et arrivent toujours à surprendre même les plus aguerris. Selon lui, la sécurité des locaux est la première des protections à avoir, car bien souvent on fait rentrer une intrusion « consentie » dans sa propre entreprise. Les conditions d’accueil et d’accès des personnes extérieures à l’entreprise sont encore mal maîtrisées aujourd’hui, et ces dernières peuvent souvent se balader à leur guise dans les locaux. Laisser les différents acteurs aller et venir dans son entreprise est déjà la première des faiblesses et potentiellement risqué. S’il s’agit d’un cas d’espionnage par la concurrence ou autre, cela peut avoir comme conséquence la perte de marchés, d’où l’importance de mettre en place les mesures de protection adéquates. De son côté, la DGSI agit également pour tenter de repérer les cas d’ingérence économique et prévenir les personnes concernées. Toutefois, il reste encore souvent difficile aujourd’hui d’interpeller ces acteurs malveillants.

L’Adjudant chef Damien Legris, Référent sûreté, Gendarmerie Nationale Ille-et-Vilaine, préconise également aux entreprises de renforcer leur sécurité physique et d’avoir une véritable politique de sûreté et de protection bâtimentaire, afin de prévenir les risques et de lutter contre les modes d’action des malfaiteurs. Les cambriolages font, en effet, partie des risques à ne pas négliger. On parle ici bien entendu des infractions contre les biens, mais aussi contre les personnes (menaces et/ou violence). Les préjudices liés à ce type de méfaits sont souvent très importants. Pour réussir ce type d’acte malveillant, il faut généralement la réunion de 3 facteurs : un délinquant motivé, une cible et l’absence de gardien ou de mesures de protection suffisantes.
Pour mieux se défendre, on va devoir obliger le délinquant à accroître ses efforts, mais aussi faire peser sur lui un risque plus important d’être reconnu. Plus le risque d’être détecté ou reconnu est important pour lui, moins il aura de chance de passer à l’acte. Il faut également réduire l’intérêt de la cible et faire en sorte que le risque soit le plus faible possible. Pour ce faire, chaque entreprise doit améliorer ses équipements, ses infrastructures, renforcer son contrôle d’accès et sa protection intérieure, périmétrique et périphérique. Par exemple, les accès arrière sont souvent moins bien protégés que l’entrée principale. Il est, de plus, essentiel d’avoir un regard extérieur autour de son entreprise et de limiter les facilitateurs d’intrusions. On déplore encore de nombreuses failles au niveau des accès, des portes, des serrures… L’ensemble de ces aspects nécessitent une réflexion en amont quant à la stratégie de protection des locaux, au même titre que les données. La protection bâtimentaire (contrôle d’accès, coffres, vidéoprotection, signalétique, alarmes…) est, selon lui, l’un des fondamentaux pour un chef d’entreprise, d’autant que les conséquences de ce type d’actes malveillants sont souvent dramatiques.

De la zone à régime restrictif… au certificat OEA

Le dispositif de Protection du Potentiel Scientifique et Technique de la Nation (PPST) vise aussi à protéger les savoirs et savoir-faire des entreprises et à éviter leur détournement ou captation, souligne Jérôme Lainé, Délégué à l’information stratégique et à la sécurité économiques, DIRECCTE Bretagne. Celui-ci concerne aussi bien les aspects matériels qu’immatériels. Le dispositif conventionnel de la zone à régime restrictif (ZRR) est également prévu par le décret n°2011-1425 du 2 novembre 2011 relatif à cette PPST. Il s’agit d’une zone protégée au sein d’une organisation et donc d’un espace clos, visant à limiter les risques. Une fois la zone à régime restrictif créée, des règles précises doivent venir encadrer ce dispositif, ainsi qu’une signalétique dédiée. Chaque personne qui travaille au sein de ces ZRR fait, de plus, au préalable l’objet d’une enquête interministérielle, qu’il s’agisse d’un employé opérant directement au sein de cette zone, d’un stagiaire, d’un agent d’entretien ou de nettoyage… Concernant les visiteurs, une autorisation préalable du chef d’entreprise est nécessaire à chaque visite, et une liste répertoriant l’ensemble des visiteurs sur l’année doit être envoyée à la DIRECCTE.
Toute personne qui pénètre dans une zone à régime restrictif sans autorisation encourt 6 mois d’emprisonnement et 7 500 euros d’amende (article 413-7 du Code pénal). Les sanctions sont encore beaucoup plus lourdes si la personne qui a pénétré dans une ZRR créé une compromission. Cette démarche nécessite donc une bonne sensibilisation des employés en amont, ainsi qu’un certain nombre de mesures, toutefois elle s’avère un bon moyen de protection contre les vulnérabilités et les intrusions.

Le certificat OEA (Opérateur économique agréé) vise, quant à lui, à renforcer la sécurité des flux de marchandises à l’international, explique Eric Faruel, Direction régionale des Douanes - Bretagne. Entré en vigueur le 1er janvier 2008 au sein de l’UE, le certificat OEA est né suite à deux principaux constats : la montée du terrorisme et le risque lié au fret international. Toutefois, en vue d’obtenir ce certificat, plusieurs conditions doivent être remplies et la structure devra être auditée au préalable afin de déterminer si elle remplit les conditions requises de sécurité : bâtiment résistant aux tentatives d’accès illicites, mesures de contrôle adaptées pour empêcher les entrées non autorisées, sensibilisation du personnel… La certification OEA permet de bénéficier d’un certain nombre d’avantages économiques et s’avère un passeport pour l’international, explique-t-il. Cela développe la compétitivité tout en renforçant la sécurisation des échanges.

Une prise de conscience croissante des enjeux liés à la protection des données

Quelle prise de conscience les entreprises ont-elles aujourd’hui quant à ces enjeux ? Quels moyens de protection des données ont-elles mis en place ? Alexandre Colomb, Directeur de l’ARIST CCI Innovation de Bretagne, a présenté les résultats préliminaires d’une étude en cours « Entreprise et Intelligence économique », portée par l’ARIST, le service IE et innovation de la CCI Bretagne avec le soutien de la Région Bretagne. 200 entreprises y ont répondu à ce jour, toutefois on peut imaginer que les résultats montrent des tendances qui n’évolueront pas significativement.

Au vu de ces premiers résultats portant sur le volet « sécurité », on constate notamment les tendances suivantes :
- Une prise de conscience croissante des enjeux liés à la protection des données. 53% des répondants ont mis en place une démarche de protection des informations sensibles : dans 85% des cas par souhait d’anticiper et d’éviter un risque, 26% suite à une sensibilisation, 23% par obligation, 17% suite à une cyberattaque… 47% des entreprises interrogées n’ont mis en place aucune démarche de protection des données sensibles à ce jour, notamment car elles ne savent pas comment s’y prendre (47%) ou qu’elles n’ont pas les ressources (44%) ou le temps (34%) nécessaires, et 21% d’entre elles n’en voient pas l’intérêt.
- Concernant les moyens de propriété intellectuelle utilisés pour protéger leurs informations, ces entreprises recourent notamment aux contrats de confidentialité (57%), au secret (54%), au dépôt de brevets (45%)… Pour ce qui est des moyens de protection des informations sensibles, la sensibilisation du personnel arrive en tête (60%), suivie de la gestion des archives et des déchets (52%), de l’organisation de l’accueil des visiteurs (40%) et des dispositifs de sécurité bâtimentaire (badges d’accès…) dans 28% des cas. Du côté des outils de protection numérique, les mises à jour des OS interviennent en priorité (69%). Les mots de passe font l’objet d’un changement régulier pour 44% d’entre elles, et le personnel est sensibilisé aux bonnes pratiques dans 36% des cas. 31% d’entre elles ont une charte informatique, 17% ont mis en place une PSSI (Politique de Sécurité des Systèmes d’Information) et 16% disposent d’un RSSI.
- 31% des répondants estiment leur démarche de sécurisation satisfaisante, voire très satisfaisante (2%), mais elle reste moyennement satisfaisante dans 51% des cas, voire peu satisfaisante (16%). Les principaux obstacles que les entreprises rencontrent quant à la protection de leurs informations restent le manque de temps ou de ressources (58%), les difficultés à évaluer les risques et les menaces (57%), le manque de connaissance des outils numériques de protection (43%) ou des outils juridiques (39%). 36% d’entre elles éprouvent, en outre, des difficultés à cerner les éléments sensibles pour l’entreprise.

Cryptographie : la clé de la protection des données

Cette prise de conscience des menaces et les mesures de protection associées sont essentielles car les risques sont bien réels, notamment à l’ère du numérique où tout évolue très vite. Le poste de travail a bien changé ces dernières années, constate Yves Duchesne, Co-fondateur d’ACCEIS. Le numérique apporte, en effet, son lot de nouveaux usages, qui ont cependant des implications en termes de sécurité. Aujourd’hui, les individus utilisent massivement leurs Smartphones pour tout. Ils sont également beaucoup plus mobiles et se déplacent plus fréquemment à titre professionnel comme personnel. On observe, en outre, un recours de plus en plus fréquent au BYOD (Bring Your Own Device), qui permet le partage de la vie professionnelle et personnelle sur un même device. Un phénomène qui n’est pas sans conséquence, puisqu’il favorise l’installation d’applications non maîtrisées sur le device, sans compter que les informations personnelles y côtoient les données d’entreprise. Ce manque de cloisonnement pose de sérieux problèmes en matière de sécurité, car une fois que le virus est installé sur l’appareil, c’est tout le réseau, y compris professionnel, qui est contaminé.
De plus, notre itinérance va nous pousser aujourd’hui à rechercher des réseaux publics partout (gares, aéroports, cafés…). Toutefois, si un réseau Wifi n’a pas de mot de passe, il faut bien avoir conscience que toutes vos communications sont envoyées en clair. Et même s’il y a un mot de passe, il est le même pour tous les utilisateurs, ces derniers pourront donc aussi y avoir accès. Chacun doit aujourd’hui prendre conscience des risques et en faire l’analyse avant de se connecter à n’importe quel réseau public.

Yves Duchesne souligne également le problème lié au vol d’appareils (ordinateurs, téléphones…) lors de déplacements, puisque ces derniers contiennent de nombreuses données personnelles et professionnelles. Ce sont près de 33 000 ordinateurs qui sont volés chaque année à Roissy. De nombreux utilisateurs se sentent malgré tout « en sécurité », car leur OS est protégé par un mot de passe. Ils pensent donc que, même en cas de vol, le malfaiteur ne pourra pas accéder aux données. Toutefois, ce n’est qu’une douce illusion… Un attaquant peut démarrer votre ordinateur depuis un périphérique amovible, embarquant un autre système. Si les données ne sont pas chiffrées, l’attaquant pourra alors les récupérer sans difficulté. Il en a d’ailleurs fait la démonstration lors du colloque, partant d’un système Windows 10, qu’il a pu redémarrer très facilement via un système externe Linux depuis une clé USB. La machine est non seulement compromise par les données, mais aussi par le système, puisqu’il a pu en devenir administrateur en quelques clics. Il faut bien avoir conscience que si un disque dur n’est pas protégé cryptographiquement parlant, on peut accéder aux données. Celles-ci ne sont pas protégées par défaut sur un système. Seuls le durcissement machine et la cryptographie peuvent renforcer le niveau de sécurité. D’ailleurs, ce n’est pas chose compliquée à faire pour l’utilisateur, puisque dans ce cas précis de Windows 10 un clic droit permet de chiffrer ses données facilement avec BitLocker.

Votre téléphone est-il sur « écoute » ?

Les téléphones aussi sont vulnérables et peuvent facilement être contrôlés à distance, comme le démontre Michel Buzaré, Chef de section zonale et contre ingérence Cyber, Direction du Renseignement et de la sécurité de la défense. Les Systèmes d’Information peuvent être des cibles d’attaques (DDoS, défacement…), mais aussi des moyens de mener à bien des attaques, explique-t-il. Un acteur malveillant peut ainsi prendre les commandes d’un SI en toute discrétion à des fins d’espionnage. C’est un bon moyen d’en connaître plus sur la ou les personne(s) ciblée(s). 2/3 des victimes sont aujourd’hui prévenues par un tiers extérieur. De plus, la découverte d’une attaque se fait souvent au bout de 229 jours. L’objectif est donc de réduire autant que possible ce délai.

Une cyberattaque exploite toujours une ou plusieurs vulnérabilités du SI. Il peut s’agir de vulnérabilités informatiques, organisationnelles, humaines, règlementaires, environnementales… L’objectif d’une cyberattaque est de prendre le contrôle du SI et d’utiliser ce système pour commettre des actions frauduleuses, voler des informations stratégiques, nuire à un État, une entreprise, une institution… Il recense 3 principales catégories de cyberattaques aujourd’hui : celles liées aux cyberarmées (1%), les cyberattaques ciblées (9%) et les cyberattaques de masse (90%). Dans le cas des cyberattaques ciblées, il s’agit d’espionnage, c’est pourquoi le vol d’informations sur le SI se veut le plus discret possible. Cette exfiltration de données permet d’identifier des personnes précises à des fins de social engineering, mais aussi de rechercher des failles en vue d’une future intrusion. Il a ainsi démontré le cas d’un attaquant se faisant passer pour le dirigeant d’une entreprise, qui envoie un mail important à sa secrétaire contenant un fichier malveillant. L’adresse mail étant la même que celle du dirigeant, la secrétaire ne se méfie pas et ouvre ce fichier contenant, dans ce cas précis, un ransomware. Tous les fichiers sont alors chiffrés et l’activité de l’entreprise paralysée.

Entre autres préconisations, il recommande de :
- Tenir à jour ses systèmes d’exploitation et logiciels antivirus ;
- Limiter l’exposition du service de partage de fichiers sur votre réseau ;
- Appliquer les mises à jour de sécurité ;
- Effectuer régulièrement des sauvegardes ;
- En cas d’attaque de type ransomware, ne pas payer la rançon et déconnecter immédiatement la machine du réseau.

Michel Buzaré a également démontré lors de ce colloque une attaque sur un smartphone Android, via le téléchargement d’une fausse application par l’utilisateur. Cette action a ouvert la main au pirate, sans que l’utilisateur ne s’en rende compte. Une fois la prise en main du téléphone effective, l’attaquant peut, comme il le démontre, tout faire avec le téléphone : copier les documents, les photos…, les modifier, les supprimer, activer le micro et écouter les conversations… Face à ces risques, il est essentiel pour une entreprise d’interdire et d’autoriser de manière explicite les choses qui peuvent être faites ou non sur le smartphone d’un collaborateur. Cela nécessite au préalable une analyse de risques et la définition de paramétrages dédiés.

Ingénierie sociale : méfiez-vous de ce que vous publiez sur le Web !

Benoît Minoux, DGSI, Ministère de l’Intérieur, a de son côté fait la démonstration d’une attaque de veille et d’ingénierie sociale, basée sur un scénario fictif, mais issu d’informations réelles trouvées sur le Web. Une entreprise de défense indienne souhaite obtenir des informations sur les programmes développés par une entreprise française opérant dans ce domaine, afin d’accroître sa souveraineté. Une recherche sur les réseaux sociaux va permettre d’identifier facilement l’un des collaborateurs de cette entreprise française. Grâce à son compte Facebook, on va pouvoir mieux connaître sa personne, son statut marital, ses enfants, ses passions… LinkedIn, de son côté, va nous en dire plus sur son activité professionnelle et ses missions au sein de son entreprise. Copains d’avant offrira également un aperçu détaillé de son parcours scolaire et sa date de naissance. Une petite recherche permet, en outre, d’obtenir son adresse physique, des photos vues du ciel de sa maison (merci Google !), mais aussi son intention de partir en voyage de telle date à telle date avec sa famille en Inde. Avec toutes ces informations, les scénarios d’attaques sont multiples : allant du cambriolage de leur maison pendant leur absence jusqu’à un accueil plus ou moins musclé à leur arrivée en Inde… Il faut donc être très prudent quant aux informations que l’on publie sur Internet, surtout de manière aussi ouverte, car sans tomber dans la paranoïa de nombreux acteurs malveillants sont aujourd’hui à l’affût de ce type de données.

Des scénarios malheureusement bien réels…

Même si ces différents scénarios paraissent encore surréalistes pour beaucoup, les risques sont malheureusement bien réels. La Mairie de Vannes en a d’ailleurs fait les frais le 5 février 2016, puisqu’elle a été victime d’une attaque virale de type ransomware. Pour resituer le contexte, le fonctionnement de la Mairie de Vannes s’articule au quotidien autour de 40 sites interconnectés, 100 serveurs, 2 baies de stockage, 15 000 mails/jour en moyenne, 1 000 boîtes emails, 700 utilisateurs, 1 100 postes informatiques…, explique Anne Le Hénanff, Maire-adjointe de Vannes. Le jour de l’attaque, 5 agents ont cliqué sur la pièce jointe vérolée d’un email reçu, avec comme conséquence le chiffrement de l’intégralité des fichiers du réseau de la Mairie, qui s’est retrouvée une journée complète sans postes de travail. Les 5 postes infectés ont ensuite été isolés et la plupart des fichiers ont pu être restaurés. Cet évènement a permis une prise de conscience des risques par la ville, qui a alors souhaité mettre en place une véritable politique de sécurité des systèmes d’information (PSSI), d’autant qu’on ne peut désormais pas aller contre la modernisation des structures publiques via le numérique. La première étape a été de convaincre le Maire de la ville, qui a apporté son soutien au projet. L’acceptation de ce type de démarche par les décideurs s’avère fondamentale pour sa bonne mise en œuvre. Une ligne budgétaire a également été dégagée pour mettre en œuvre cette PSSI, à hauteur de 5% du budget de la DSI, en charge de ce projet. La ville a également instauré un Comité de pilotage SSI et RGS et fait appel à un cabinet extérieur afin d’auditer les systèmes mis en place. Des sessions de sensibilisation et de formation des agents de la ville de Vannes ont, en outre, été mises sur pied. En effet, pour pouvoir avoir l’adhésion de tous, il faut que tout le monde soit formé, informé et impliqué, explique-t-elle. Parmi les clés de la réussite de ce type de projet, elle souligne notamment l’arbitrage des ressources financières, techniques et RH, la prise de conscience et le soutien des dirigeants, la conduite du changement et l’adhésion de tous, l’application des obligations réglementaires… Il est essentiel de s’intéresser sans attendre à ce sujet, conclut-elle.

La protection des données personnelles : une obligation réglementaire

Outre les risques d’attaques, les obligations règlementaires ne laissent plus aujourd’hui le choix aux entreprises, qui doivent mettre en place un certain nombre de mesures de sécurité. Cette législation sera encore plus prégnante avec la mise en application en mai 2018 du RGPD (Règlement Général européen relatif à la protection des données à caractère personnel), qui va venir remplacer la Loi Informatique et Libertés, explique Anne-Laure Gaillard, Avocate, Cabinet WithLaw. La plupart des entreprises traitent aujourd’hui des données à caractère personnel sans même s’en rendre compte : fichiers clients, vidéoprotection, données bancaires…). Le RGPD vise à renforcer la protection de ces données et imposera également la notification des failles de sécurité sous conditions. Les entreprises risquent des sanctions pénales en cas de non-respect, ainsi que des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires.
L’objectif pour une entreprise sera double : réduire l’occurrence des incidents, mais aussi l’impact en cas de survenance d’un incident. Selon elle, la première étape dans une démarche de sécurisation des données est d’avoir une vision claire des informations que l’on traite. L’identification des données doit, de plus, se faire en fonction des différentes typologies de données. Une entreprise doit, en outre, s’assurer que les mesures techniques qu’elle a mises en place ne pourront pas être contournées, d’où l’intérêt également de responsabiliser chaque maillon de la chaîne à ces obligations de conformité.

La protection des données, outre son aspect obligatoire, devient aussi de plus en plus un critère différenciateur auprès des individus, des clients, mais aussi des investisseurs. Chaque entreprise doit en effet prendre en compte sa numérisation (Cloud, IoT…) dans sa politique de risques, puisque la partie cyber influe désormais aussi sur la valeur des investissements et le prix des sociétés, constate Bruno Le Jossec, Directeur exécutif de SFLD et de Xsea. Une grande majorité pense d’ailleurs qu’une cyberattaque pourrait réduire le prix d’une acquisition. Selon une enquête Cisco de 2017, 25% des entreprises ayant subi une attaque ont manqué des opportunités commerciales, et 1/5 a perdu des clients. Une cyberattaque peut détruire la valeur d’une entreprise, ou du moins constituer une étape difficile à surmonter. D’où l’importance d’investir dans des outils de protection et de renforcer sa capacité de résilience. Pour ce faire, disposer de sauvegardes à jour est un fondamental.

Chaque serveur doit être authentifié, chiffré et auditable

La sécurité repose, selon Quentin Adam, Directeur Général de CleverCloud, sur la rencontre de plusieurs facteurs : la compliance, la technologie et les process. 25 000 failles sont découvertes en moyenne par an, sans compter l’interconnexion des logiciels qui rend la sécurité encore plus complexe. Selon lui, les ¾ du temps, les problèmes ne sont pas techniques mais culturels. Si déjà une entreprise faisait correctement ses mises à jour et disposait d’un véritable plan de maintenance applicative, les risques seraient moindres. De plus, la sécurité est un process au quotidien, qui passe aussi par la sensibilisation. Un changement de philosophie dans la façon de concevoir la sécurité s’impose.

Aujourd’hui, chaque serveur doit être authentifié et avoir du chiffrement. Il doit, de plus, être auditable et monitoré. Chaque entreprise doit également bien connaître son environnement. Le danger aujourd’hui vient en partie du nombre de Shadows. En effet, toute une partie de l’IT n’est pas gérée par la DSI à l’heure actuelle. Pour lui, il ne faut pas hésiter aujourd’hui à dépenser plus d’argent pour améliorer sa sécurité. Mieux vaut acheter 2 téléphones ou 2 ordinateurs et avoir une sphère professionnelle bien cloisonnée, sécurisée et maîtrisée. Il recommande également de tout chiffrer, car cela va déjà décourager le piratage d’opportunité. Des logiciels simples de chiffrement existent aujourd’hui pour tous les OS et tout type de téléphone. Une entreprise doit, de plus, définir des règles précises, simples et facilement applicables. Il est important d’éviter les non-sens, de type « Interdiction d’envoyer une pièce jointe de plus de 5 Mo dans les mails », si c’est pour que tous les salariés se retrouvent du coup à envoyer des documents importants via des services comme « We Transfer »… C’est avant tout une question de bon sens !

Prendre de la hauteur pour mieux connaître ses flux de données et ses risques

Pour mieux comprendre le décalage qu’il peut parfois y avoir entre la théorie (discours et bons conseils d’experts) et la pratique (la réalité d’une PME au quotidien), Diane Rambaldini, Présidente de Crossing Skills, et Hadi El Khoury, Fondateur de Sekimia, ont simulé, au travers d’un jeu de rôles, la rencontre entre la dirigeante d’une petite entreprise de fabrication et de vente de confitures avec le dirigeant d’une société de conseil en gestion des risques. Via cette démonstration, ils ont ainsi pu mettre en avant le décalage qui existe aujourd’hui entre les intérêts et priorités économiques d’un dirigeant d’entreprise, surtout de PME ou ETI, avec la connaissance et la considération des risques cyber. Ils ont également démontré à quel point la communication est fondamentale entre les personnes clés de l’entreprise, mais aussi avec les acteurs extérieurs.

Au travers d’une méthodologie simple, dans ce cas précis OBASHI, qui se présente sous forme de jeu, ils reprennent les éléments clés qui feront la base d’une politique de sécurité effective et efficiente. Par exemple, au niveau de l’organisation, il est essentiel dans un premier temps d’identifier l’ensemble des personnes actives dans les process de l’entreprise (collaborateurs, succursales, partenaires…). Ils recommandent également de retracer les processus métiers et les flux de données. En redessinant les flux et en prenant de la hauteur sur son SI, on obtient une meilleure compréhension de ses systèmes et des risques. Une entreprise doit, de plus, savoir où sont localisées et hébergées ses données. La transparence est fondamentale. L’agrégation de l’ensemble de ces informations va permettre à l’entreprise d’avoir une meilleure connaissance sur ses flux de données. Ils préconisent de commencer dans un premier temps par les process les plus critiques pour l’organisation, puis de l’étendre ensuite au fur et à mesure. Se mettre dans la peau d’un attaquant permet également de mieux comprendre les menaces et les enjeux. En outre, pour que cette méthodologie fonctionne, il est essentiel de réunir l’ensemble des acteurs clés autour de la table, afin de disposer de l’intégralité des informations et d’avoir une connaissance globale des risques. Enfin, les offres de cybersécurité doivent, quant à elles, venir s’adapter aussi aux PME et ETI.

En conclusion de ce colloque, Eric Hazane, Référent région Bretagne de l’ANSSI, a annoncé la publication d’un nouveau guide de l’ANSSI destiné aux PME et aux ETI : « Charte d’utilisation des moyens informatiques et des outils numériques : guide d’élaboration en 8 points clés pour les PME et ETI ».

Au vu de l’actualité récente, personne ne peut plus ignorer les risques liés au numérique et penser que ça ne peut arriver qu’aux autres. Que l’on soit une grande entreprise, une PME, une collectivité ou juste un citoyen lambda, chacun doit prendre conscience des enjeux liés à ces risques numériques et a un rôle à jouer pour renforcer le niveau de sécurité globale.




Voir les articles précédents

    

Voir les articles suivants