Du ransomware à la cyberwar : l’entreprise à l’heure de la cyber-résilience

Panorama des Cybermenaces 

La cybersécurité de l’entreprise et, au-delà, sa cyber-résilience aux cybermenaces est un sujet transversal qui doit impliquer toute l’entreprise, de la direction générale aux collaborateurs en passant par les équipes IT et les développeurs. Elle est affaire d’organisation, de sensibilisation, d’expertise, mais aussi de partenaires compétents et investis.

En effet, la diversité des menaces, leur technicité croissante, leur évolution rapide associée à la complexité importante des systèmes et l’extension du système d’information sur de multiples clouds invitent les entreprises à s’associer à des acteurs spécialisés – des partenaires de proximité comme Metsys, proches de leurs besoins et de leurs préoccupations propres – pour prendre en compte les nombreuses facettes de la cybersécurité, de l’analyse des risques à la surveillance en temps réel, du Security By Design à l’audit des procédures et des systèmes, de la gestion des identités à la protection des données, de la gestion des alertes à la gestion de crise.

Sécurité IT : Des menaces destructrices et sans frontière

Le paysage des menaces est sans cesse en perpétuelle évolution. Après une petite accalmie post crises Wanacry et NotPetya, les rançongiciels (ransomwares) ont, de nouveau, fait parler d’eux depuis l’été. Plusieurs grandes entreprises nationales et internationales ainsi que plusieurs hôpitaux français en ont été victimes et ont vu leurs opérations paralysées durant plusieurs jours, voire semaines. « Ces malwares  font en général pas mal de dégâts, chiffrant des fichiers aussi bien en local que partagés à travers le réseau ou le cloud, bloquant l’accès à des machines et à des équipements » rappelle Nicolas Verdier, RSSI & directeur de l’agence Centre-Val de Loire chez Metsys. « Malgré les recommandations de l’ANSSI, nous constatons avec le temps que nombre d’organismes préfèrent payer la rançon parce qu’ils n’ont pas la capacité de revenir à un état initial à moindre coût ».

Ransomwares 

Les ransomwares, peut-être plus que toute autre menace, remettent en avant les problématiques des plans de sauvegarde et rappellent malheureusement à quel point ces plans sont insuffisamment maîtrisés, éprouvés et testés. Car l’accent est généralement mis sur la protection et la sauvegarde au détriment de la reprise d’incidents et de la restauration. « Ces sujets ne sont jamais ignorés par les entreprises, mais les moyens ne sont pas toujours proportionnels à ce qu’ils devraient être » constate Nicolas Verdier.

Un partenaire comme Metsys réalise des audits de situation et aide ensuite les entreprises à mettre en œuvre des bonnes pratiques pour ne pas se retrouver paralysées.

Danger : Les attaques email aboutissent par manque de sensibilisation

Si certaines attaques paraissent nouvelles et innovantes, la plupart démarrent pourtant par des compromissions de compte et des vols d’identité obtenus à partir d’un email malveillant. Ainsi, les attaques BEC (Business Email Compromise) ne cessent de se multiplier : un cybercriminel se fait passer pour un haut responsable de l’entreprise et incite le destinataire à lui envoyer une information confidentielle ou à lui transférer de l’argent en toute urgence. Ces attaques par email auraient coûté plus de 12,5 milliards de dollars aux entreprises ces cinq dernières années selon le FBI. Les problèmes de Phishing, de vols d’identités et de manipulation par email ne sont certes pas nouveaux, mais « les attaques se sont professionnalisées et sont désormais mûrement préparées » explique Nicolas Verdier. « Elles bénéficient d’un haut niveau de finition et sont ciblées avec précision notamment par des analyses avancées des organigrammes des entreprises et des profils des utilisateurs pour mieux duper les personnes visées ».

Face aux problèmes d’attaques ultraciblées par des emails toujours plus sournois et malicieux, la formation des utilisateurs devient un maillon fondamental de la stratégie de défense de l’entreprise. « Au-delà de la formation, il faut plutôt parler de sensibilisation. Et cette dernière doit être personnalisée en fonction de l’entreprise et de ses populations » alerte Nicolas Verdier. Souvent, les responsables se contentent de campagnes de formation générale. Elles n’ont pourtant qu’une efficacité limitée.

Pour Nicolas Verdier, « une campagne de sensibilisation doit être adaptée à sa cible autrement dit proche de chaque utilisateur ou catégorie d’utilisateurs. Et ces campagnes de sensibilisation doivent être régulièrement rééditées, car la répétition est essentielle pour que les messages passent et que les bonnes habitudes s’installent ». Aujourd’hui, Metsys accompagne les entreprises sur ces problématiques et les aide à mettre en place des campagnes de sensibilisation spécialement pensées et travaillées pour leurs métiers et leurs différentes populations de collaborateurs.

Défis n°1 : Comment sécuriser des données dans un monde réparti ?

Bien sûr, les cyberattaquants ne s’intéressent pas uniquement aux identifiants et aux identités. Le savoir informationnel et les données au sens large sont tout aussi rémunérateurs. Autrefois, la donnée était centralisée et relativement bien maîtrisée, protégée par une approche de sécurité périmétrique. Mais le cloud, les applications SaaS et les solutions PaaS ont étendu le système d’information hors des murs de l’entreprise. « Les entreprises ont perdu la maîtrise et la visibilité sur leurs données » constate Nicolas Verdier. « Des solutions de type CASB dopées à l’IA permettent non seulement d’étendre les politiques et les contrôles de sécurité de l’infrastructure à l’ensemble des ressources cloud et services utilisés par l’entreprise, mais également de retrouver une visibilité sur les usages et repérer les pratiques déviantes et malveillantes ».

Mais la sécurité n’est jamais uniquement une question d’outils. Au-delà de la fourniture et de la mise en œuvre de telles solutions, Metsys aide également les entreprises à mettre en place des canaux de communication sécurisés avec leurs partenaires et prestataires et les encourage à sensibiliser le personnel aux conséquences de ses actions dans le partage de données.

Surveiller les identités et les accès, une nécessité

La présence d’un périmètre de sécurité n’ayant plus de sens à l’heure des SI étendus, tous les efforts des entreprises doivent se focaliser sur la défense des données et la surveillance des personnes qui y accèdent. Aujourd’hui, un utilisateur qui rentre dans une entreprise impose de provisionner de multiples comptes pour une multitude d’applications SaaS. Des outils qui permettent d’unifier la gestion de ces identités multiples et d’accepter un login unique (SSO, Single Sign On) s’imposent. Mais ils ne se suffisent pas à eux-mêmes. Car « les collaborateurs évoluent au sein de l’entreprise, passent de service en service et finissent par avoir à peu près tous les droits. En outre, les multiples profils créés sont rarement dé-provisionnés lorsqu’ils quittent l’entreprise » rappelle Nicolas Verdier.

Au travers de profils métiers et d’une vraie gestion du cycle de vie des identités, de nouvelles solutions logicielles permettent de transformer automatiquement les droits en fonction des évolutions du collaborateur dans l’entreprise et de s’assurer de la suppression de ces droits lorsque les RH signalent son départ de l’entreprise.

Mais leur mise en œuvre nécessite expertise et expérience. Metsys propose ainsi de l’assistance à l’intégration et accompagne l’entreprise dans l’identification des multiples applications, dans la mise en place des processus de gestion du cycle de vie des profils, et dans l’automatisation de ces processus avec comme objectif de permettre à l’entreprise d’être ensuite totalement autonome dans la gestion et la supervision des accès et des identités.

Sécuriser, dès la conception : Security By Design

Enfin, la cyber-résilience passe également par une sécurisation dès la conception des services et logiciels proposés et créés par l’entreprise. Le Security By Design consiste à intégrer au plus tôt les aspects sécurité dans tous les projets de sorte que toutes les parties d’un projet notamment celles comprenant de l’authentification, de la donnée, du stockage et du transfert soient systématiquement et dès le départ sécurisées. « Au-delà des bonnes pratiques et des process à mettre en œuvre pour concrétiser une politique de Security-By-Design, il faut aussi former les développeurs à la sécurité, s’assurer qu’ils connaissent les techniques des hackers et les bonnes pratiques de sécurisation de sorte que le code produit soit intrinsèquement le plus solide possible. Enfin, il faut amplifier les contrôles des codes avec des scans de vulnérabilité applicative, une analyse des bibliothèques utilisées pour s’assurer que les dernières versions patchées sont bien employées, etc. » explique Nicolas Verdier.

Depuis plusieurs années, Metsys accompagne ses clients dans la gestion de leurs projets en mettant l’accent sur le Security By Design et en insistant sur l’importance des analyses de risques et des analyses sur les vecteurs de dangers.

Très tôt dans son évolution, Metsys a compris que, pour atteindre la cyber-résilience dont elles ont besoin pour poursuivre leurs opérations quelles que soient les formes d’attaques dont elles sont la cible, les entreprises auraient besoin de s’appuyer sur des partenaires de confiance à même de les aider dans la mise en place de processus, dans la mise en œuvre de solutions adaptées à leurs besoins spécifiques, dans l’accompagnement des équipes, dans l’audit de leur sécurité et dans la sensibilisation des collaborateurs aux cyber-risques.

Pour les y aider, ce partenaire multiplie aujourd’hui ses initiatives, ses services et ses offres en la matière. En outre, nombreux sont les organismes qui seront, dans les prochains mois, désignés comme OSE (Opérateurs de Services Essentiels) par l’ANSSI les obligeant à se conformer dans un délai de 6 mois à 2 ans aux règles strictes dictées par l’agence. Metsys leur propose de prendre de l’avance et de préparer le terrain, de définir un plan d’action, puis de les accompagner dans la mise en œuvre de ce plan pour se mettre en conformité.

Retrouver de la visibilité en adoptant un SOC en mode SaaS

Dès le second semestre 2019, Metsys proposera à ses clients une offre de SOC (Security Operations Center) destinée à superviser les différents outils de sécurité et à offrir les deux premiers niveaux d’analyses et d’alertes. « Cette offre hébergée aide les entreprises à exploiter au mieux les outils de sécurité qu’elles ont acquis sans souvent avoir en interne les compétences ou la disponibilité. Le SOC se chargera d’analyser les signaux à risques, d’émettre des alertes pour attirer l’attention des responsables dès que les premiers signaux d’une attaque à venir sont détectés et de proposer des réponses sur incident comme, par exemple, bloquer immédiatement tout poste de travail réalisant de l’extraction de données. »

Les entreprises à l’heure de la CyberWar

Les attaquants sont, aujourd’hui, assez souvent pilotés par des organisations étatiques à des fins d’espionnage, mais dans le but de déstabiliser un pays ou une économie. Lors du dernier Forum International de la Sécurité, Guillaume Poupard, directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) reconnaissait une recrudescence des attaques menées par des services d’état et s’inscrivant dans la durée. Des cyber-agressions dont les objectifs ne sont pas immédiatement explicites, car elles ne sont que de simples étapes dans des attaques en chaîne visant un objectif bien plus vaste. Il s’inquiétait également du rôle joué par les partenaires TPE et PME des grandes entreprises dans ces attaques. « Les interconnexions des systèmes se multiplient. Dans certains cas, les partenaires de l’entreprise sont amenés à gérer des équipements ou se voient déléguer la gestion d’outils, de ressources, d’espaces de stockage, de sécurité » rappelle Nicolas Verdier. Pour lui, non seulement l’entreprise doit se protéger, mais elle doit exiger que ses partenaires se protègent avec autant de sérieux et de rigueur. « Le partenaire ne doit pas être le vecteur d’entrée. L’entreprise cliente doit avoir un droit de regard sur la sécurité de ses partenaires. On retrouve ici une problématique de déport de responsabilité et de confiance comme on a pu la rencontrer dans le cadre de la RGPD, par exemple ».

Metsys, partenaire de votre sécurité

Metsys aide les entreprises dans la gouvernance de leur sécurité au travers de conseils, d’audits, d’outils et de solutions de sécurité éprouvées et reconnues sur le marché. En outre, Metsys propose des services complémentaires et originaux à l’instar du tableau de bord « Security Excellence Center » qui permet aux RSSI et autres responsables sécurité d’avoir une vue générale de la sécurité à partir d’indicateurs pertinents spécialement assemblés pour l’entreprise et ses contextes.