Limiter les dérives de l’informatique hyperconnectée
Nous l’avons évoqué plus tôt, l’évolution de l’informatique (et par conséquent de la cybersécurité) a pris un véritable tournant ces dernières années.
Il est rare de voir des entreprises maitriser, administrer et sécuriser seules leurs systèmes d’information. C’est un fait, le monde hyperconnecté d’aujourd’hui repose sur des environnements informatiques de plus en plus « sur le Cloud » ou externalisés. Ces prestataires tiers et d’applications SaaS (Software As A Service) sont d’ailleurs toujours plus impliqués dans le traitement et la sécurité de données sensibles voire personnelles.
Plus récemment, les nouveaux risques introduits par ces évolutions, les migrations vers les environnements agiles (Office 365) et le télétravail ont plongé les responsables de sécurité dans une approche encore plus stressante de la maitrise qui était, à l’époque uniquement « périmétrique ».
Séparer et cloisonner les données sensibles, durcir et sécuriser suffisamment ce système d’information non tangible tout en tenant compte du contexte et des nouveaux usages, est un véritable casse-tête qui impose également aux équipes chargées de la sécurité de prendre un virage différent pour se défendre des menaces.
Toutes les directions (générales et informatiques) ont pris conscience que la sécurité pour protéger ce patrimoine informationnel n’était plus une option. Ne pas avoir de budget pour adresser ce sujet ni s’entourer d’un responsable de la sécurité de l’information pour gérer une société de plus d’une soixantaine de salariés devient très risqué… ou pour certains acceptable jusqu’au jour où…
La sécurité a donc pris, peu à peu, une place conséquente à tous les niveaux et dans tous les secteurs d’une entreprise, mais les efforts pour anticiper et contrer les menaces sont encore hétérogènes. En effet, pour se défendre, il faut déjà savoir contre qui on se protège…
Les conséquences et les impacts d’une sécurité perfectible…
L’absence de sécurité et d’anticipation des risques engendre des conséquences très importantes pour l’entreprise. L’impact financier étant toujours la conséquence finale qu’il faudra affronter si un incident de sécurité survient.
Les conséquences sont diverses et surtout très spécifiques à l’entreprise, mais on peut regrouper les risques en quelques catégories. Un incident peut donc affecter :
- L’image de marque de l’entreprise engendrant potentiellement le risque de perdre des clients
- L’activité en détériorant la qualité d’un service ou la capacité de le rendre à ses clients ou en passant du temps à résoudre cet incident
- Le respect de lois, de réglementations ou de certifications comme pour le cas du RGPD et peut finir dans certains cas à l’interdiction d’exercer
- La sureté des personnes
- Le développement de l’entreprise lors d’exfiltration / espionnage de données de recherche confidentielles
Amendes, pénalités, dommages et intérêts et perte de chiffre d’affaires sont souvent les conséquences induites par le manque d’anticipation de ces risques.
Cependant, depuis deux ans et avec la recrudescence des campagnes d’intrusion et de diffusion de rançongiciels, les directions prennent de plus en plus conscience de ces risques. Si une forte proportion d’entre elles ne disposent pas de mécanismes évolués pour détecter des attaques sophistiquées, la première étape reste de surveiller, de maitriser son périmètre exposé, de détecter les potentiels points d’entrée et de savoir réagir rapidement. Voilà ce que la Cyber Threat Intelligence opérationnelle permet d’apporter… Des solutions.
Les directions doivent donc mettre en place l’organisation et les mesures de sécurité qui conviennent à leurs propres contextes pour éviter les conséquences de toutes les malversations réalisées par les attaquants.
Face à ces problèmes, comment peut-on anticiper et se protéger contre ces menaces ? La mise en place d’une gouvernance de la sécurité est une première étape. La sécurité périmétrique en est une autre, mais on voit désormais qu’elle a ses propres limites.
Une porte blindée permettra de sécuriser l’entrée, mais autant faut-il que les fenêtres de la maison ne restent pas ouvertes. Donc une surveillance permanente de son environnement s’impose.
Mais qui peut donc surveiller en permanence votre maison, votre maison de vacances et votre voiture garée dans la rue ou toutes vos affaires (portefeuille, clefs, argent) que vous transportez d’un lieu à un autre. À moins d’avoir un garde qui surveille 24h/24 vos biens et même une garde du corps qui suit et scrutent tous vos faits et gestes, peu de solutions s’offrent à vous pour rester serein et confiant sur la sécurité de vos biens.
C’est ici que la CTI peut avoir un sens. Qu’elle soit associée au renseignement sur la menace par des notes d’informations, des retours d’expériences, des partages d’informations permettant de savoir comment opèrent les groupes d’attaquants, comment ils entrent et se déplacent sur les systèmes d’information, quels sont leurs outils et leur mode opératoire. Tous ces éléments, une fois traités et analysés vont permettre aux dirigeants de prendre des décisions et surtout d’orienter et de rationaliser ses budgets sécurité.
Le petit +
Pour toute entreprise, grande ou petite, qui se lance dans une opération de fusion/acquisition, nous recommandons fortement de dresser un portrait des risques cyber qui pèsent sur l’entreprise à acquérir. Il s’agit alors de faire de la Due Diligence.
En matière de cybersécurité, la Due Diligence est une opération qui permet d’identifier le risque associé à une entreprise tierce. Au cours de ce processus, les organisations recueillent des informations sur les efforts existants sur la protection des données stockées numériquement et s’il y a eu ou non une situation dans laquelle lesdites données ont été compromises.
Grâce à la Cyber Threat Intelligence, l’acquéreur prend donc connaissance d’éventuelles irrégularités que la société devra assumer après la fusion/acquisition.
Les avantages de la CTI appliquée en fusion/acquisition :
- Connaître le type de données traitées par l’entreprise et dans quelle mesure elles les protège
- Comprendre le paysage des risques et identifier les menaces communes aux deux entreprises
- Évaluer les risques de la transaction particulière avant d’engager sa responsabilité morale
- Identifier s’il y a des problèmes qui peuvent justifier la restructuration de l’accord