Passer

Cyber-Sécurité : 5 constats pour changer sa vision sur ce domaine

Introduction

Les apparences suffisent largement à faire un monde” [Jean Anouilh]

Au-delà de cette citation, il s’avère que cette phrase prend tout son sens dans de nombreux domaines, notamment celui de la Cybersécurité.

Ces mêmes apparences semblent devenir trompeuses car souvent biaisées par des à priori qui naissent en société (comme l’image de Hackerman ci-dessous par exemple ) ou encore de nombreuses figures dites “geek” qui sont désormais répandues et souvent trop peu réalistes. 

Hackerman

Cette image est assez floue pour un grand nombre de personnes car le rôle ou la fonction du hacker n’est pas clairement définie ou correctement appréhendée par tous. 

Ici, il n’est pas question de réduire la Cybersécurité aux hackers mais bien de déconstruire quelques idées préconçues sur ce domaine et celles et ceux qui le composent. 

Loin d’aspirer à être un écrit purement technique, nous nous concentrerons ici sur des faits qui semblent être des évidences sur ce domaine et qui ne le sont pas ainsi que sur des constats qui permettront également de mieux se faire une idée du monde de la Cyber.

https://www.youtube.com/watch?v=KEkrWRHCDQU1

1 : La Cybersécurité, ça passe aussi par vous !

“La cybersécurité c’est un monde d’hommes, de geek avec des PC et des câbles partout”

La cybersécurité est certes un domaine spécialisé comme tant d’autres mais il concerne également le plus néophyte des utilisateurs d’internet.

En effet, nous commençons à le voir de plus en plus dans notre quotidien mais certaines négligences peuvent impacter durablement des vies ou des secteurs.

Il n’est plus rare de croiser des amis ayant été “hackés” sur facebook ou encore de voir leurs comptes bancaires débités pour des raisons étranges.

En réalité, le monde de la  cyber peut être associé à de nombreux sujets comme un vernis supplémentaire, on peut citer par exemple le sport ou l’E-sport et la cybersécurité.

Il est essentiel de bien prendre en compte le fait que nos sociétés se digitalisent rapidement et que l’ensemble des dispositifs, outils et usages que nous faisons a déjà ou aura de près ou de loin un lien avec un système d’information.

Cela dit, nous voilà confrontés à une réalité qu’il faudra savoir gérer, nous voyons nos technologies évoluer, mais les menaces, elles aussi, grandissent proportionnellement à nos usages digitaux.

Nous sommes au centre des enjeux de la cybersécurité, nous en sommes même des acteurs proéminents par notre utilisation constante et grandissante des nouvelles technologies et moyens de communication.

Le développement et l’accélération des échanges, qu’il s’agisse de communications, des biens, des personnes nous poussent à nous digitaliser de plus en plus car la recherche “plus simple” ou encore du “plus utile” n’a jamais été aussi effrénée.

Ce constat simple, impose un rythme technologique qu’il est difficile de soutenir tant sur le plan des technologies mais aussi de la sécurité.

La cybersécurité s’inscrit dans une mouvance extrême des avancées digitales, elle doit ainsi permettre plus de cadrage et plus de sérénité dans les nouveaux modes de travail et de vie au quotidien.

Il est pertinent de rappeler également que les notions réglementaires et légales sont aussi un enjeu fort de la cybersécurité. Les contours juridiques ainsi que les floues qui composent la législation à ce sujet sont l’objet d’enjeux et de débats. Pour prendre un exemple, la notion de DCP (donnée à caractère personnel) a évolué avec le temps et la législation autour de la gestion de la donnée, le RGPD est chamboulé à mesure que la cybersécurité évolue également.

Finalement, c’est bien un sujet qui nous concerne tous, à des niveaux différents, certes, mais qui peut rester impactant dans de nombreux cas.

2 : Il est probable que l’erreur vienne de vous !

“Il y a quand même très peu de chance que la fuite de données ou le problème informatique viennent de moi”

Souvent, la cause de cyberattaque vient de manquements ou de failles venant de l’utilisateur lui-même. 

Ainsi, “La dernière enquête du Club des experts de la sécurité de l’information et du numérique (CESIN) montre que les négligences et les erreurs humaines constituent le principal cyber-risque pour les entreprises”. 2

Pour entrer un peu dans les détails et les typologies d’attaques, “les plus régulièrement cités pour 2019 sont le phishing (79 %), la fraude au président (47 %) et l’exploitation d’une vulnérabilité (43 %)” .3

Vous l’aurez compris, il n’est pas question de jeter la pierre aux personnes qui négligent les règles de sécurité ici. 

Bien qu’il soit toujours essentiel de recourir à la sensibilisation et à la formation sur ces sujets, nous cherchons à rendre un portrait honnête de l’environnement Cyber lui-même.

On parle de risque humain, “Qu’il s’agisse d’ignorance, de négligence ou d’incompétence, l’erreur humaine ne peut être ignorée. Mais cela arrive, cela arrivera toujours, et les organisations devraient plutôt se concentrer sur la meilleure façon de réagir à de telles erreurs. Mais le risque humain est différent en fonction du secteur étudié”.4

L’erreur humaine sera toujours difficile à freiner complètement, même si cela ne veut pas dire que des mesures ne peuvent être prises pour y remédier au moins partiellement. Mais le risque humain est une toute autre question, et avec la bonne approche, les organisations peuvent gérer et atténuer ce risque avec beaucoup de succès. En voici quelques chiffres :

L’erreur peut donc venir de vous, un clic sur un mail ciblé de phishing (spear phishing) ou encore une clé USB mal utilisée, son écran laissé ouvert pendant quelques minutes, un mot de passe trop faible en caractère et protection… Ce sont quelques exemples qui peuvent amener à une crise au sein d’une organisation.

https://www.hans-associes.fr/cyber-attaques-lerreur-humaine-pointee-du-doigt/2
https://www.hans-associes.fr/cyber-attaques-lerreur-humaine-pointee-du-doigt/3
https://www.oxial.com/fr/blog-fr-fr/eliminating-the-human-element-to-cyber-security-breaches/4

3 : Entre Gouvernance et Technique

“Il faut forcément être ingénieur et/ou avoir des compétences techniques pour faire de la cybersécurité” 

Il est possible de travailler dans ce domaine sans forcément avoir un profil (hyper) technique. 

En effet, il est envisageable (sous réserve d’avoir une appétence pour le domaine et les aspects techniques tout de même) de travailler en cybersécurité et de comprendre ce qu’il s’y passe.

Ce secteur comporte de nombreux aspects capables d’être traités sous différentes formes et angles.5

Il est évident qu’une personne qui souhaite travailler dans un des domaines ci-dessous devra posséder des caractéristiques techniques.

Voici des exemples métiers sur ces différents aspects :

  • L’audit de sécurité (de codes, d’architecture réseau…)
  • La sécurité défensive (préparer son dispositif afin de prévenir de potentiels impacts ou crises Cyber) 
  • La sécurité offensive (red team…). 
  • Le penetration testing (les tests de pénétration sont des simulations qui permettent de détecter où se trouvent les failles dans le SI et les potentielles vulnérabilités exploitées par de potentiels attaquants) 
  • ….

Il est toutefois possible d’envisager de travailler dans la cyber sous des angles plus “gouvernance”, c’est-à-dire que l’on étudie ces sujets sous une perspective plus large en déclinant des plans, des lignes de conduite et des bonnes pratiques utiles à l’entreprise ou au secteur visé. 

Cette partie gouvernance est souvent moins technique et se trouve être travaillée sur des aspects souvent plus “politiques” au sein de l’organisation.

Il est essentiel de comprendre l’importance pour une entreprise de l’ensemble des politiques, procédures, fiches réflexes ou autres documents constituant la documentation associée à la protection de son SI.

Par ailleurs, 45% des professionnels de la cybersécurité ont moins de 5 ans d’ancienneté, 89% sont satisfaits de l’exercice de leur métier, ou encore 73% exercent dans le secteur privé.” Ces résultats représentent quelques conclusions issues de la nouvelle enquête de l’ANSSI (Agence Nationale de Sécurité des Système d’Information.).6

Attention, encore une fois, les aspects gouvernances comprennent des notions techniques et une bonne connaissance et compréhension est là aussi un prérequis pour aborder des procédures de gestion de crise Cyber ou encore étudier un plan de CyberDéfense.

Afin de donner une vision globale des métiers inhérents à la cybersécurité, voici un schéma récapitulatif :

On remarque qu’un certain nombre de ces métiers inclut des compétences techniques fortes ainsi qu’un background souvent en ingénierie, néanmoins ce degré technique diverge en fonction du métier visé.

https://www.groupe-freecom.fr/cybersecurite-et-entreprises-comprendre-pour-agir/5
https://www.ssi.gouv.fr/guide/les-profils-de-la-cybersecurite/6

4 : Un monde qui évolue de façon exponentielle

“La création de nouvelles technologies passe forcément par la sécurisation avant la commercialisation”

La transformation digitale a fait entrer l’homme dans une quête de la nouveauté technologique et de l’évolution effrénée.

Ces évolutions ne s’accompagnent pas nécessairement des corrections en termes de sécurité,  qui arrivent souvent plus tard (palliatif ou correctif utilisé ultérieurement par exemple).

Sans entrer dans des détails superflus, la lecture du « Top 10 Strategic Technology Trends » du cabinet américain Gartner permet de mesurer et évaluer les grandes ruptures technologiques. 7

  • L’intelligence artificielle est utilisée pour améliorer la prise de décision, réinventer des modèles économiques et des écosystèmes.
  • Les applications et analytiques intelligentes.
  • Les objets connectés.
  • Le double numérique, représentation numérique d’une entité ou d’un système, qui aidera dans des domaines comme la maintenance.
  • Le Edge Computing, une topologie informatique dans laquelle la collecte, le traitement et la distribution d’informations sont placés plus près des sources de ces informations.
  • Les plateformes conversationnelles de type chatbots.
  • Les expériences immersives : réalités virtuelle, augmentée et mixte.
  • La blockchain.
  • L’event-driven : les entreprises du numérique sauront détecter rapidement et exploiter de nouvelles fenêtres de business, basées sur des moments, des événements ou des changements d’état notables (comme la validation d’une commande), pour ensuite lancer des actions commerciales spécifiques.
  • L’évaluation de la confiance et le risque adaptatif continu : mise en place d’infrastructures capables de prise de décisions en temps réel, basées sur le risque et la confiance.

Autant d’éléments qui permettent de dire qu’autant de terminaux, outils ou dispositifs font face à de nouvelles menaces et vulnérabilités.

Dès lors, la balance « Évolutions/ Risques” n’est pas si simple à équilibrer et nous pouvons pertinemment imaginer qu’il ne sera pas si aisé de trouver un équilibre positif entre le progrès et la sécurité associée.

Pour revenir sur la cyber, l’ANSSI recense et traite un grand nombre de vulnérabilités. Il existe même un “Top 10 des vulnérabilités les plus marquantes de 2020.8

Pour pallier cela, il faut souligner le travail effectué par l’ANSSI sur ce sujet. 

Ainsi, il est essentiel de surveiller l’actualité et adopter de bonnes pratiques : 

  • Le patching des systèmes et les mises à jour, 
  • Les scans des vulnérabilités ou d’applications réguliers, 
  • La sécurisation et l’identification des failles en amont sur les applications et outils
  • La sensibilisation 

Il est essentiel de connaître correctement ses outils de sécurité et avoir conscience des potentielles failles que l’on peut subir.

On peut en conclure que la cybersécurité est indubitablement un enjeu majeur des prochaines années au vu de l’évolution technologique et socio-culturelle mondiale.

https://www.ege.fr/formations/mba/rsic7
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-008/8

5 : Les Cyberattaques sont un des risques majeurs

“Tout le monde en parle mais ça n’arrivera jamais en réalité”

Il y a fort à parier que la prochaine attaque de grande ampleur soit Cyber, car c’est un des risques majeurs (entre autres) observés depuis quelques années et que les moyens et les techniques des cyber attaquants ne cessent d’évoluer.

Sans faire de scénarios catastrophe, nous pouvons imaginer des cas spécifiques qui permettraient d’effrayer une grande partie de la population : 

  • Vol de données après une infiltration du réseau d’un hôpital en temps de Covid

En 2020 par exemple, 27 cyberattaques majeures visant des hôpitaux ont été recensées, ainsi que 1 par semaine en 2021, alors même que ceux-ci luttaient en première ligne face à la crise sanitaire. Ainsi, les données personnelles de millions de personnes ont été dérobées (identité, numéro de sécurité sociale, coordonnées) 

  • Pénétration d’un système essentiel au bon fonctionnement de la centrale de gestion des eaux proche de chez vous déclenchant une impossibilité d’utilisation de l’eau du robinet pendant un certains temps, 
  • Attaque sur Organisation d’Importance Vitale (OIV) et le pays se retrouve privé d’électricité pendant 48 heures ou encore 
  • Acte de malveillance sur un Système d’Information d’Importance Vitale (SIIV), 
  • Attaque sur un Point d’Importance Vitale (PIV) 

Tous, sont  synonymes de failles extrêmement sensibles au sens de la nation française et donc des priorités nationales qu’il faut savoir garder à l’esprit afin de maintenir un niveau de sécurité primordiale et surtout extrêmement prioritaire.

Alain Bauer, professeur de criminologie au Conservatoire national des arts et métiers, à New York et à Shanghai, estime que “le prochain virus sera Cyber”. 

Il ajoute également que «Nous sortirons de la crise sanitaire. Nous allons entrer dans la crise cyber, ce monde dont notre niveau de dépendance croît exponentiellement et qui ne s’y est guère préparé».

De façon plus globale, de nombreuses études, depuis de nombreuses années, ont pu montrer la montée en puissance de ce risque. C’est le cas de l’étude AXA par exemple :

9

Considérant l’importance du sujet climatique, le risque cyber étant en deuxième position, il semblerait que l’effort dépensé pour la sécurité autour de la cyber ne doive pas être sous-estimé.

A ce titre, ce sujet doit être pris à bras le corps et ne doit en aucun cas être minimisé.

De nombreuses entreprises travaillent sur ces sujets et se spécialisent afin de pouvoir prévoir et anticiper ce type d’attaque.

Par ailleurs, il est essentiel de s’exercer et s’entraîner par le biais d’exercices de crise de type Cyber, pour bien prendre en compte les spécificités propres à ce domaines et entraîner les équipes sur des scénarios divers et variés.

De manière générale, le maintien en condition opérationnelle du dispositif cyber au sein du organisation est primordial, comme souvent pour l’ensemble des pratiques observées en entreprise.

https://www.axa.com/en/magazine/2021-future-risks-report9

Conclusion :

Il ne faut pas se tromper sur ce sujet, il nous concerne bien plus que ce que l’on croit. Pour ce faire, il est essentiel de démystifier la cyber dans son ensemble et bien comprendre combien elle peut être dangereuse si sous-estimée ou mal évaluée.

Ainsi, à différents niveaux, il sera essentiel de développer une culture commune autour de ces sujets afin que toutes et tous puissent réagir, anticiper et prévoir les problématiques liées à ce sujet précis.

C’est un domaine qui se structure juridiquement, sécuritairement et culturellement mais qui demandera du temps et de l’engagement pour arriver à un niveau de maturité suffisant.

Peut-être qu’un jour le risque cyber ne sera plus dans le haut du classement des risques les plus importants, en attendant ce jour, à nous de prendre la mesure de la nouvelle ère de la Cybersécurité au 21ème siècle.

Sources: 

https://www.youtube.com/watch?v=KEkrWRHCDQU
https://www.hans-associes.fr/cyber-attaques-lerreur-humaine-pointee-du-doigt/
https://www.oxial.com/fr/blog-fr-fr/eliminating-the-human-element-to-cyber-security-breaches/
https://www.ssi.gouv.fr/uploads/2015/07/anssi-panorama_metiers_cybersecurite-2020.pdf
https://www.groupe-freecom.fr/cybersecurite-et-entreprises-comprendre-pour-agir/
https://www.magellan-consulting.eu/article/evaluer-risques-innovations-technologiques/
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-008/
https://metahodos.fr/2021/04/12/la-france-est-dans-le-top-10-des-pays-qui-ont-connu-le-plus-de-cyberattaques-en-2020-dapres-le-fbi/
https://metahodos.fr/2021/02/07/comment-evaluer-les-nouveaux-risques-cyber/
https://www.lopinion.fr/edition/international/prochain-virus-sera-cyber-tribune-d-alain-bauer-216291
https://www.ssi.gouv.fr/guide/les-profils-de-la-cybersecurite/
https://www.lefigaro.fr/flash-eco/cybersecurite-des-hopitaux-27-attaques-majeures-en-2020-et-une-par-semaine-en-2021-20210217
  • A PROPOS DE DEVOTEAM

Devoteam est un acteur majeur du conseil en technologies innovantes et management pour les entreprises. Nos 7 600 professionnels sont engagés à faire gagner la bataille du digital à nos clients. Présent dans 18 pays d’Europe et du Moyen-Orient et fort de plus de 20 ans d’expérience, nous mettons la ‘Technologie au service de l’Homme’ afin de créer de la valeur pour nos clients, nos partenaires, et nos employés. Devoteam a réalisé un chiffre d’affaires de 760,4 millions d’euros en 2020 Chez Devoteam. Copyright 2021 devoteam © Devoteam S.A