Il ne suffit pas d’installer des « outils » de sécurité pour protéger l’entreprise contre les cyberattaques. Pour Axians, la sécurité doit être abordée de façon holistique.

Fin 2016, la renommée de Mirai a dépassé le petit cercle des informaticiens. En bloquant le service DNS de l’entreprise Dyn pendant près de dix heures et les serveurs de géants du Net comme Netflix, Spotify, Twitter et eBay, le malware, programme conçu pour nuire, s’est fait connaître du grand public. Et de nombreuses entreprises qui ont pu se conforter dans l’idée que ces attaques spectaculaires ne touchaient décidément que « les gros ». Erreur ! « Plus d’une entreprise sur deux a été victime en 2016 d’une cyberattaque, avertit Cédric Cailleaux, responsable études et conseils chez Axians (VINCI Energies). Les TPE et les PME sont concernées au même titre que les entreprises du CAC 40. »

« Le principe de sécurité est bien établi dans l’entreprise quand il s’agit de mettre un casque, mais il reste abstrait quand il s’agit de données. »

Le déni de service qui a touché Netflix et Twitter comme les « ransomwares », les deux grands types de cyberattaque, sont « d’autant plus courants que ces armes sont en accès libre sur l’Internet », souligne Cédric Cailleaux.

« Par exemple, Satan, poursuit l’expert, est un ransomware « as a service » qui permet à un apprenti hacker appelé « affilié » d’aller geler les données d’une entreprise en les cryptant, afin d’obtenir une rançon en échange de la clé de décryptage, le pirate recevant 60 % de la rançon, le reste revenant au « fournisseur de logiciel ». »

Dans la même veine, complète Cédric Cailleaux, « pour trente dollars, vous pouvez acheter sur le Web un déni de service de vingt minutes ». En clair, l’entreprise visée verra son serveur paralysé par un déferlement de requêtes malignes, blocage qui peut se traduire par une perte de revenu.

La sécurité est un tout

Comment se prémunir ? « Le réflexe des entreprises est souvent d’apporter des solutions techniques : un firewall, un antispam, du filtrage URL, etc. », observe l’expert en cybersécurité. Mais ce faisant, « elles créent des segments de protection qui fragilisent le système global. C’est pourquoi Axians développe une vision holistique de la sécurité. » La marque dédiée à l’ICT de VINCI Energies aborde en effet la sécurité sous trois aspects inséparables : technique, opérationnel et organisationnel.

La sécurité opérationnelle passe entre autres par de la visibilité à apporter aux DSI et RSSI sur l’état « global » de protection de leur système d’information, mais aussi par de la veille technologique, qui permet de comprendre les menaces et de se faire une culture du risque. Elle passe aussi par un travail permanent de sensibilisation.

Dans une entreprise, Axians a ainsi envoyé de façon ciblée des e-mails de phishing – technique d’hameçonnage – vers différents services afin d’ouvrir le dialogue avec les salariés qui avaient eu le mauvais réflexe de cliquer. La logistique a ainsi reçu un message lui disant « votre colis n’a pas été livré, cliquez ici », quand les RH ouvraient, à tort, un CV alléchant en pièce jointe, un autre vecteur de choix pour les hackers… Une fois les mauvais réflexes identifiés et la sensibilisation engagée, la formation sous forme de e-learning ou de webinar pouvait être dispensée.

Culture du risque

Le partage de la culture du risque est la colonne vertébrale de la sécurité organisationnelle, le troisième aspect de l’approche à 360 degrés défendue par Cédric Cailleaux. « Le principe de sécurité est bien établi dans l’entreprise quand il s’agit de mettre un casque ou de monter sur une échelle, note l’expert d’Axians, mais il reste abstrait quand il s’agit de données. »

Apprendre à gérer le risque, c’est d’abord se poser la question de savoir ce que l’on doit protéger, en l’occurrence « les actifs les plus sensibles, car on ne peut pas tout protéger, souligne Cédric Cailleaux, avant de pointer les lacunes organisationnelles les mieux partagées, de la PME à la multinationale : sur cinquante entreprises interrogées lors d’une récente réunion, seules deux avaient mis en place une PSSI, une politique de sécurité des systèmes d’information ».

 

11/09/2017

En savoir plus :
Axians - Sécurité