Du ransomware à la cyberwar : l’entreprise à l’heure de la cyber-résilience

Panorama des Cybermenaces 

La cybersécurité de l’entreprise et, au-delà, sa cyber-résilience aux cybermenaces est un sujet transversal qui doit impliquer toute l’entreprise, de la direction générale aux collaborateurs en passant par les équipes IT et les développeurs. Elle est affaire d’organisation, de sensibilisation, d’expertise, mais aussi de partenaires compétents et investis.

En effet, la diversité des menaces, leur technicité croissante, leur évolution rapide associée à la complexité importante des systèmes et l’extension du système d’information sur de multiples clouds invitent les entreprises à s’associer à des acteurs spécialisés – des partenaires de proximité comme Metsys, proches de leurs besoins et de leurs préoccupations propres – pour prendre en compte les nombreuses facettes de la cybersécurité, de l’analyse des risques à la surveillance en temps réel, du Security By Design à l’audit des procédures et des systèmes, de la gestion des identités à la protection des données, de la gestion des alertes à la gestion de crise.

Sécurité IT : Des menaces destructrices et sans frontière

Le paysage des menaces est sans cesse en perpétuelle évolution. Après une petite accalmie post crises Wanacry et NotPetya, les rançongiciels (ransomwares) ont, de nouveau, fait parler d’eux depuis l’été. Plusieurs grandes entreprises nationales et internationales ainsi que plusieurs hôpitaux français en ont été victimes et ont vu leurs opérations paralysées durant plusieurs jours, voire semaines. « Ces malwares  font en général pas mal de dégâts, chiffrant des fichiers aussi bien en local que partagés à travers le réseau ou le cloud, bloquant l’accès à des machines et à des équipements » rappelle Nicolas Verdier, RSSI & directeur de l’agence Centre-Val de Loire chez Metsys. « Malgré les recommandations de l’ANSSI, nous constatons avec le temps que nombre d’organismes préfèrent payer la rançon parce qu’ils n’ont pas la capacité de revenir à un état initial à moindre coût ».

Ransomwares 

Les ransomwares, peut-être plus que toute autre menace, remettent en avant les problématiques des plans de sauvegarde et rappellent malheureusement à quel point ces plans sont insuffisamment maîtrisés, éprouvés et testés. Car l’accent est généralement mis sur la protection et la sauvegarde au détriment de la reprise d’incidents et de la restauration. « Ces sujets ne sont jamais ignorés par les entreprises, mais les moyens ne sont pas toujours proportionnels à ce qu’ils devraient être » constate Nicolas Verdier.

Un partenaire comme Metsys réalise des audits de situation et aide ensuite les entreprises à mettre en œuvre des bonnes pratiques pour ne pas se retrouver paralysées.

Danger : Les attaques email aboutissent par manque de sensibilisation

Si certaines attaques paraissent nouvelles et innovantes, la plupart démarrent pourtant par des compromissions de compte et des vols d’identité obtenus à partir d’un email malveillant. Ainsi, les attaques BEC (Business Email Compromise) ne cessent de se multiplier : un cybercriminel se fait passer pour un haut responsable de l’entreprise et incite le destinataire à lui envoyer une information confidentielle ou à lui transférer de l’argent en toute urgence. Ces attaques par email auraient coûté plus de 12,5 milliards de dollars aux entreprises ces cinq dernières années selon le FBI. Les problèmes de Phishing, de vols d’identités et de manipulation par email ne sont certes pas nouveaux, mais « les attaques se sont professionnalisées et sont désormais mûrement préparées » explique Nicolas Verdier. « Elles bénéficient d’un haut niveau de finition et sont ciblées avec précision notamment par des analyses avancées des organigrammes des entreprises et des profils des utilisateurs pour mieux duper les personnes visées ».

Face aux problèmes d’attaques ultraciblées par des emails toujours plus sournois et malicieux, la formation des utilisateurs devient un maillon fondamental de la stratégie de défense de l’entreprise. « Au-delà de la formation, il faut plutôt parler de sensibilisation. Et cette dernière doit être personnalisée en fonction de l’entreprise et de ses populations » alerte Nicolas Verdier. Souvent, les responsables se contentent de campagnes de formation générale. Elles n’ont pourtant qu’une efficacité limitée.

Pour Nicolas Verdier, « une campagne de sensibilisation doit être adaptée à sa cible autrement dit proche de chaque utilisateur ou catégorie d’utilisateurs. Et ces campagnes de sensibilisation doivent être régulièrement rééditées, car la répétition est essentielle pour que les messages passent et que les bonnes habitudes s’installent ». Aujourd’hui, Metsys accompagne les entreprises sur ces problématiques et les aide à mettre en place des campagnes de sensibilisation spécialement pensées et travaillées pour leurs métiers et leurs différentes populations de collaborateurs.

Défis n°1 : Comment sécuriser des données dans un monde réparti ?

Bien sûr, les cyberattaquants ne s’intéressent pas uniquement aux identifiants et aux identités. Le savoir informationnel et les données au sens large sont tout aussi rémunérateurs. Autrefois, la donnée était centralisée et relativement bien maîtrisée, protégée par une approche de sécurité périmétrique. Mais le cloud, les applications SaaS et les solutions PaaS ont étendu le système d’information hors des murs de l’entreprise. « Les entreprises ont perdu la maîtrise et la visibilité sur leurs données » constate Nicolas Verdier. « Des solutions de type CASB dopées à l’IA permettent non seulement d’étendre les politiques et les contrôles de sécurité de l’infrastructure à l’ensemble des ressources cloud et services utilisés par l’entreprise, mais également de retrouver une visibilité sur les usages et repérer les pratiques déviantes et malveillantes ».

Mais la sécurité n’est jamais uniquement une question d’outils. Au-delà de la fourniture et de la mise en œuvre de telles solutions, Metsys aide également les entreprises à mettre en place des canaux de communication sécurisés avec leurs partenaires et prestataires et les encourage à sensibiliser le personnel aux conséquences de ses actions dans le partage de données.