Control Risks : les 5 comportements clés pour une bonne sécurité

Entretien avec Nicolas Reys, consultant en cyber sécurité chez Control Risks, cabinet de conseil indépendant spécialisé dans la gestion des risques politiques, sécuritaires, de réputation et d’intégrité, qui accompagne au quotidien les organisations dans le recueil et l’analyse des informations liées aux menaces cyber.

ITPro.fr : Faut-il avoir peur des cyber-risques? 

Est-ce que toutes les entreprises sont concernées ?

Toute entreprise ayant une présence en ligne est exposée à des menaces cyber. Il faut donc s’interroger sur la nature précise de ces menaces et la façon dont elles peuvent s’en prémunir. Certaines attaques automatisées ou basiques peuvent être gérées avec des mesures élémentaires. Mais le paysage des cyber menaces se complexifie chaque jour, à un rythme que la plupart des entreprises ne peuvent pas suivre.

Comment évoluent les attaques aujourd’hui ?

On peut distinguer trois types de cyber attaques, en fonction de la nature des acteurs qui les conduisent. Tout d’abord, les Etats. Ils peuvent mener des campagnes d’espionnage sophistiquées à l’aide d’outils comme des attaques avancées et persistantes (APT), pour récupérer des informations confidentielles détenues par des sociétés privées. De plus en plus d’opérations destructrices récentes, recourant notamment aux « wiper malware » (logiciels malveillants qui effacent des données), ont été attribuées à des Etats. S’en suivent les groupes cyber criminels. Responsables de la plupart des cyber attaques automatisées, ils utilisent des réseaux ou des outils corrompus (botnets) pour mener des opérations de spam ou de hameçonnage à grande échelle, visant souvent à récupérer des informations à des fins mercantiles. Récemment, ces groupes développent des attaques de plus en plus complexes, passant d’un mode passif de vol à un mode interactif. Le ransomware (type de logiciel malveillant qui restreint l’accès à un outil et exige le paiement d’une rançon pour le restaurer) est ainsi de plus en plus utilisé contre des individus ou des entreprises. Des entreprises de toutes tailles et de tous secteurs sont en outre victimes d’attaques sous forme de « dénis de service distribué » (DSD), combinant des modes d’intervention propres aux bandes criminelles organisées et des outils corrompus. Enfin, des cyber activistes, ou des groupes de hackers motivés par des principes idéologiques, s’en prennent aux actifs publics des entreprises tels que leurs sites web ou leurs bases de données. Ils ont recours à des attaques basiques comme des DSD, des dégradations ou des attaques par injection de langage relationnel SQL pour obtenir des informations confidentielles. Le nombre et la variété de ces groupes augmentent rapidement, de même que l’intensité de leurs attaques. Si leurs capacités sont généralement moindres que celles des cyber criminels ou des Etats, l’humiliation publique des cibles associée à leurs attaques peut générer des dommages réputationnels importants.

A quoi faut-il s’attendre demain ?

Les entreprises sont de plus en plus dépendantes d’une connexion internet pour conduire leurs activités, et leurs réseaux corporate sont utilisés par un nombre croissant d’outils. Les cyber attaques vont de ce fait devenir une de leurs préoccupations grandissantes. Dans le même temps, la fréquence et la complexité des attaques continuent de s’accroître, posant des défis nouveaux à ceux qui sont chargés d’assurer la sécurité des réseaux. Si des mesures de défense peuvent repousser une grande partie de ces attaques, elles sont vite dépassées par l’évolution de techniques toujours plus sophistiquées.

Quels sont les comportements sains pour une bonne sécurité?

Comprendre la menace

Les techniques d’attaques varient énormément selon la zone géographique et le secteur. Les entreprises doivent donc identifier quels types d’acteurs peuvent être intéressés par leurs données et leurs systèmes avant de déterminer les mesures de protection à adopter.

Connaître les actifs

L’efficacité d’une stratégie défensive nécessite d’identifier, comprendre et hiérarchiser les actifs les plus critiques pour la conduite de leurs activités, et de concentrer les solutions autour de ces derniers.

Evaluer ses défenses

Certaines entreprises se sentent protégées après avoir acheté des solutions qui se révèlent pourtant inadaptées. Avant de mettre en place des mesures défensives, les entreprises doivent analyser les forces et faiblesses des dispositifs existants et leur niveau de maturité.

Activer ses défenses

La technologie doit être configurée de sorte à assurer une défense effective contre des menaces. Les solutions clés en main sont inopérantes si elles ne sont pas accompagnées des bonnes personnes et des bonnes méthodes pour les mettre en oeuvre efficacement.

Avoir un plan

Même les organisations les mieux protégées peuvent subir une intrusion, mais les capacités en gestion de crise sont déterminantes sur leur impact potentiel. Un plan de réponse défini en amont, reposant sur une bonne compréhension des menaces cyber, peut permettre aux entreprises de limiter et maîtriser l’impact d’une intrusion hostile, et ainsi éviter qu’un incident ne se transforme en désastre.