Sécurité informatique : les règles à suivre

Entre 100 et 200 jours : c'est le délai de détection des virus et autres malveillances informatiques par les entreprises, selon les estimations des professionnels du secteur. Autant dire une éternité, dans un environnement IT et technologique où tout va très vite. De plus, les phénomènes du Byod ("bring your own device") et de la digitalisation ont multiplié les risques. Les entreprises sont-elles assez préparées à ces malveillances ? Sur quoi doivent-elles se montrer vigilantes ? Quels types de riposte peuvent-elles mettre en place ? " Le critère de la sécurité fait partie intégrante des projets. Ce n'est plus une option. Et dorénavant, toutes les directions métiers passent par nous avant d'utiliser un nouveau logiciel en service ", explique Alain Bouillé, président du Cesin, Club des experts de la sécurité de l'information et du numérique, et responsable de la sécurité des systèmes d'information (RSSI) d'un groupe financier. Il prône une démarche de sécurité informatique "inside" (intégrée dans les projets).

Conjuguer sécurité et innovation

C'est un fait, aujourd'hui, les DSI comme les RSSI sont écartelés entre deux objectifs contraires. D'un côté, sécuriser les données qui transitent par les systèmes d'information et, de l'autre, répondre aux demandes des directions métiers en attente d'innovation, relève une étude du Cesin. Ils sont secondés par les responsables de la sécurité des systèmes d'information (RSSI). De plus, " le phénomène de la digitalisation a entraîné l'émergence d'un nouveau métier : le chief digital officer (CDO) ", souligne le président du Cesin. Le CDO doit piloter la transformation numérique de l'entreprise. Si les RSSI sont, dans 69 % des cas, rattachés à la DSI de l'entreprise, le reste d'entre eux étant affiliés au risk manager, les CDO sont majoritairement dépendants du comité exécutif. La multiplicité des métiers et les rapports hiérarchiques différents ne simplifiant pas la tâche.

" L'implication des directeurs achats est de plus en plus nécessaire, car la sécurité ne se trouve plus uniquement à l'intérieur de l'entreprise mais aussi chez les fournisseurs."

Impliquer les directions achats

Dans une étude d'Ernest & Young de 2014 sur la sécurité des systèmes d'information, le cabinet démontre que la sensibilisation aux risques informatiques au sein des entreprises doit encore progresser. On apprend, en effet, que si 67 % des organisations sont confrontées à des menaces croissantes dans leur environnement, 37 % ne disposent pas de l'information qui pourrait les aider à combattre ces menaces en temps réel. Pour Pascal Antonini, associé EY en charge de ce rapport, il existe, en réalité, trois types de comportements bien distincts. " Ce sont les 3A : Activation, Adaptation et Anticipation. Les entreprises sont toujours dans la partie activation, c'est-à-dire qu'elles ont activé un certain nombre de processus mais n'ont pas encore intégré le fait qu'elles doivent se transformer, parce que les menaces évoluent et parce que l'environnement général a beaucoup évolué. " D'une manière générale, les entreprises leaders dans le domaine de la sécurité sont celles qui impliquent leur direction générale. Et si les directeurs achats sont membres du comité exécutif, ils seront, de fait, engagés dans la démarche. " L'implication des directeurs achats est de plus en plus nécessaire, car la sécurité ne se trouve plus uniquement à l'intérieur de l'entreprise mais aussi chez les fournisseurs. C'est là que les directions achats ont un rôle à jouer : celui de relais lors de l'acte d'achat vers le tiers qui va interagir avec l'entreprise. " Autres chiffres-clés : 53 % déclarent que le manque de ressources qualifiées au sein de leur entreprise est le principal obstacle dans l'élaboration de leur programme de sécurité de l'information. Ainsi, seulement 5 % ont une équipe d'analystes dédiés. Et la négligence de certains employés se révèle être la première source de vulnérabilité des entreprises.

Des audits de sécurité

Un rapport de l'Américain Cisco souligne l'importance, pour les entreprises, de privilégier le déploiement de solutions intégrées et le recours à des fournisseurs de services de sécurité à des fins d'orientation et d'évaluation. Des sociétés comme Above Security sont spécialisées dans les audits de sécurité pour révéler aux entreprises les failles de leur système informatique. Pour cela, elles réalisent des tests d'intrusion ou de vulnérabilité en simulant des virus informatiques. " Les entreprises doivent exiger de leurs éditeurs de solutions de réduire les délais de détection et de résolution à quelques minutes, explique Jason Brevnik, ingénieur en chef pour le groupe de sécurité Cisco. N'étant pas soumis aux mêmes contraintes que les professionnels de la sécurité, les hackers ont l'avantage en matière d'agilité et d'innovation. " Des acteurs historiques, spécialisés à l'origine dans les antivirus comme McAfee, Trade Micro ou Symantec proposent des solutions adaptées. " Le marché évolue avec des brokers appelés cloud access security brokers (CASBs) ", selon le président du Cesin. D'après la définition de Gartner, les CASBs sont des points de concentration, déployés dans l'entreprise ou dans le cloud, placés entre les utilisateurs et les services du cloud, qu'ils utilisent pour appliquer les politiques de sécurité de l'entreprise. Ces CASBs répondent donc à des sujets aussi divers que l'authentification et l'autorisation d'accès.

Enfin, de plus en plus de prestataires se dotent de centres de surveillance dédiés au dépistage des attaques. Comme Microsoft avec son "Microsoft response center". " Les data centers et Microsoft, en général, sont parmi les plus attaqués au monde, explique Marc Gardette, responsable de la stratégie cloud au sein de la direction technique et sécurité de Microsoft France. Les moyens que nous mettons en oeuvre pour protéger physiquement data centers, réseaux, serveurs et données des clients sont colossaux. Nous cryptons, par exemple, les données des clients lorsqu'elles sont stockées sur notre data center. "

Sécuriser les data centers

La sécurité informatique passe aussi par celle des data centers. En effet, selon l'opérateur national Celeste, fournisseur de solutions haut débit et haute disponibilité pour les entreprises, voici les questions de base à poser à son hébergeur. Le premier sujet de préoccupation concerne la sécurité thermique, " élément le plus négligé, et à l'origine de nombreuses pannes ". Comment sont refroidies les machines ? Est-ce de l'air recyclé et climatisé ? etc. En cas de panne de ces systèmes de refroidissement, il est nécessaire de savoir si le réseau est doublé. Autre sujet : la sécurité électrique. Elle doit être examinée, depuis la haute tension jusqu'aux serveurs informatiques. De combien de sources électriques haute tension le data center dispose-t-il ? Les transformateurs haute tension sont-ils protégés contre l'incendie ? Comment les groupes électrogènes sont-ils dimensionnés ? Peuvent-ils secourir tout le data center ou uniquement la puissance de l'informatique ? Enfin, les réseaux de fibre optique des data centers doivent également être sécurisés. D'autres éléments de sécurité sont à examiner : contrôle d'accès, vidéosurveillance, détection d'incendie et extinction automatique d'incendie. Un autre élément capital à prendre en compte est la présence de personnel sur le site : agents de sécurité, mais aussi personnel de maintenance, techniciens réseaux et systèmes, etc. Les procédures de mise en production, maintenance, SAV, doivent être clairement définies et appliquées. Pour avoir des indications sur la qualité de l'exploitation, une visite est utile. Une foule de précautions à prendre en compte, susceptibles d'éviter des désagréments se chiffrant à plusieurs milliers d'euros.

(1) Étude de 2014, "Le RSSI à la croisée des exigences".

Un serious game pour comprendre les enjeux de la sécurité informatique

Découvrir de façon ludique les enjeux d'un sujet difficile comme la sécurité informatique : c'est ce que propose le Cigref, association chargée de promouvoir la culture numérique avec le serious game baptisé "Keep an eye out". Un jeu lancé en juin dernier pour apprendre à devenir "l'ange gardien de la sécurité numérique de son entreprise". "Keep an eye out" est un jeu d'aventure scénarisé en 3D. Le joueur doit veiller sur deux salariés, Alex et Camille, lors d'un déplacement professionnel risqué, impliquant la manipulation de données confidentielles de leur entreprise. Le joueur les accompagne à travers cinq missions dans des lieux comme le domicile, la gare ou le train. Son but est d'obtenir le meilleur niveau de sécurité possible à chaque phase du jeu. Le concepteur Daesign, spécialisé dans le serious game, le propose à des tarifs dégressifs en fonction de la taille des entreprises, sous forme d'abonnement annuel en mode SaaS.

3 questions à Vincent Strubel, sous-directeur Expertise à l'Agence nationale de la sécurité des systèmes d'information (Anssi)⁽¹⁾.

" Dans 90 % des cas, c'est une question de bonnes pratiques "

Quels sont les plus grands dangers auxquels sont confrontées les entreprises ?

Il existe deux catégories d'attaques. Celles dites "ciblées" et celles non ciblées. Les non ciblées sont essentiellement des virus informatiques, des rackets, des cryptolockers chiffrés avec demande de rançon. Elles peuvent être très dangereuses pour les PME en termes de risque d'image, mais ne restent que des nuisances à l'échelle des grands comptes.

Ensuite, les attaques ciblées sont de deux sortes. Il existe l'espionnage économique, souvent difficile à contrer car invisible. De plus, les grandes entreprises ne communiquent pas dessus. Des services mercenaires peuvent aussi perpétrer ces attaques pour ensuite revendre les données et les secrets industriels ou de R&D. Il y a aussi un sabotage visible et destructif, revendiqué ou non, qui peut révéler des informations le jour de la sortie d'un produit, par exemple.

Comment se protéger contre ces attaques ?

Dans 90 % des cas, c'est une question de bonnes pratiques, bien plus que de solutions techniques. C'est comme en médecine, le premier réflexe est d'abord une question d'hygiène. Cela passe par des mots de passe robustes, des sauvegardes ou la mise à jour des logiciels. Mais il faut aussi être vigilant sur le prêt d'ordinateurs portables. Ces bonnes pratiques n'engendrent pas de surcoûts ! En plus, les entreprises peuvent recourir à des antivirus, des pare-feu ou des moyens d'authentification des réseaux. Toutes ces compétences n'existent pas en interne. L'acheteur doit solliciter un prestataire de services labellisé pour envisager un audit.

Selon vous, les entreprises sont-elles suffisamment préparées face à ces risques ?

Certaines ont déjà mis en place une organisation de crise en cas d'attaque. D'autres, évidemment, ne le sont pas suffisamment. Les 218 "opérateurs dits d'importance vitale" (OIV) dans le transport, l'énergie, etc. sont les plus sensibles. Leur politique de sécurité informatique est régie par le volet cybersécurité de la loi de programmation militaire publié le 27 mars 2015.

(1) Service à compétence nationale, l'Anssi est rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN). Ce dernier assiste le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale.

Vincent Strubel,