Blog

Akerva

Faites l’expérience de la sécurité active & réactive

Non classé

Ce qu’il faut retenir du FIC 2019

Non classé | 04/02/2019 L'équipe Akerva s'est rendue les 22 et 23 Janvier derniers à l'édition 2019 du Forum International de la Cybersécurité (FIC). Au-delà de notre présence sur un stand dédié, nous avons eu l’occasion d'assister à plusieurs conférences aux sujets variés desquelles quelques grandes thématiques et tendances se dégagent.  

Le nombre de...

L’équipe Akerva s’est rendue les 22 et 23 Janvier derniers à l’édition 2019 du Forum International de la Cybersécurité (FIC).

Au-delà de notre présence sur un stand dédié, nous avons eu l’occasion d’assister à plusieurs conférences aux sujets variés desquelles quelques grandes thématiques et tendances se dégagent.

 

Le nombre de cyberattaques, toujours en croissance

Le nombre de cyberattaques continue d’augmenter. L’actualité de ce début d’année 2019 est là pour nous le rappeler :

Cette multiplication d’attaques s’explique par différents facteurs, notamment par :

  • La facilité d’accès à des moyens d’attaque – les vecteurs d’attaques sont de plus en plus documentés et des kits (attaques DDoS / programmes de malwares), facilement exploitables, sont disponibles sur le Darknet pour quelques centaines d’euros.
  • La multiplication des surfaces d’attaque – notamment par le biais des équipements connectés et la transformation du SI classique (fermé, à périmètre restreint) en nébuleuses interconnectées.
  • La massification des cyberattaques – au-delà du cyberpirate dans son salon, les cyberattaques sont devenues un phénomène étatique ou terroriste.

Par ailleurs, la visibilité de ces attaques augmente, que ce soit :

  • Du fait de leur impact, de plus en plus globalisé et médiatisé.
  • Du fait de la réglementation qui a renforcé l’obligation de déclaration – notamment via le RGPD.

 

La Cybersécurité : l’affaire de tous

En fonction des études, on estime de 50% à 80% le nombre d’attaques qui se sont produites du fait d’un vecteur humain. Touchant autant les Etats et les citoyens que les grandes entreprises et leurs collaborateurs, il semble donc que la cybersécurité soit, aujourd’hui plus qu’avant, l’affaire de tous.

Au niveau de l’Etat
Au niveau étatique, avec la hausse du risque de conflit à grande échelle, et d’attaques ciblées sur des entreprises sensibles pour l’activité économique d’un Etat, des dispositifs dédiés sont mis en œuvre ou renforcés :

  • La réglementation nationale et supranationale. La LPM, le NIS, le RGPD, la loi contre la manipulation de l’information
  • La normalisation. European Cyber Act en cours de discussion…
  • Les certifications dédiées. Certification des prestataires de détection d’incident de sécurité – PDIS, certification des prestataires de service d’informatique en nuage – SecNumCloud

Des programmes de sensibilisation dédiés à destination des citoyens sont par ailleurs mises en œuvre (le « Permis Internet » à destination des enfants, le MOOC de l’ANSSI…) et des plateformes de remontées d’alertes sont mises en place (https://www.signal-spam.fr/ pour le phishing, Perceval pour les fraudes à la carte bancaire…). Ces différents dispositifs viennent renforcer la récente prise de conscience collective autour du risque Cyber et impliquer l’ensemble des citoyens dans leur mitigation.

Au niveau des entreprises
Environ 60% des attaques de ces dernières années ont ciblé des entreprises. De ce fait, le risque Cyber prend dans les entreprises une dimension de plus en plus stratégique, au-delà de ses dimensions opérationnelles et techniques. Le risque devient donc l’affaire de tous, y compris du Top Management, et non seulement l’affaire des équipes techniques.

Afin de mieux maîtriser ces risques, l’anticipation des situations potentielles et la mise en place de processus dédiés doivent être établis afin d’être réactifs en cas d’attaque. De ce fait, on assiste au renforcement :

  • De certaines fonction dans l’entreprises (RM – Risk Manager, DPO – Data Protection Officer, CISO – Chief Information Security Officer…) ;
  • De l’intégration des métiers dans l’identification de ces risques.

On retrouve d’ailleurs ce phénomène d’intégration dans la nouvelle version d’Ebios Risk Manager, qui introduit une démarche collaborative et globale. Les métiers participent notamment à l’élaboration des scénarios de risque, basés sur des situations réelles et/ou très probables. La Cybersécurité devient donc de plus en plus vivante et commune, et son évaluation est aussi l’occasion de faire de la pédagogie.

Finalement, comme indiqué par le Global Chief Information Security Officer d’une grande banque française, au-delà d’être un vecteur d’attaque, l’humain peut aussi être un vecteur de détection et un lanceur d’alerte. Y compris dans les cas où la sécurité n’est pas au cœur de son métier. On assiste d’ailleurs au niveau des entreprises à un renforcement des actions de sensibilisation avec comme finalité de faire de l’humain un maillon fort dans la chaine du risque Cyber.

 

L’ouverture du SI, incontournable mais source potentielle de risques

L’une des difficultés aujourd’hui est de définir les contours d’un SI (Système d’Information). En effet, d’un système délimité et connecté à l’internet via un nombre fini de connections, le SI est aujourd’hui une nébuleuse composée de multiples satellites tous connectés (équipements mobiles, équipements connectés…) et dont les services peuvent être externalisés (phénomène du Cloud).

Par ailleurs, des systèmes anciennement fermés, les systèmes industriels ou embarqués (exemple de la voiture connectée) notamment, sont de plus en plus connectés. La potentielle surface d’attaque du SI augmente en conséquence, sur des éléments dont la sécurité est souvent à renforcer.

Les systèmes industriels

Parfois obsolètes (par manque de mises à jour pour des raisons économiques et/ou d’homologation), les systèmes industriels (OT) présentent par ailleurs des problèmes d’interopérabilité avec les systèmes informatiques (IT). Cela amène deux réflexions :

  • La sécurisation de bout en bout de l’interconnexion IT/OT, pour laquelle les fournisseurs de solutions de sécurité sont encore en train de se structurer. Pour exemple, le cloisonnement entre des 2 systèmes IT/OT pour la SNCF a nécessité la mise en place d’une solution hybride entre deux fournisseurs de solution (filtrage applicatif + isolation) car il n’existait pas de solution clef en main correspondant à l’ensemble du besoin.
  • Et, comme souligné par l’ANSSI, l’adaptation des processus d’homologation à des systèmes dont la couverture fonctionnelle est susceptible d’évoluer dans le temps, du fait notamment des mises à jour en temps réel.

Les objets connectés

Les objets connectés, dont on estime le nombre à 20 milliards d’ici fin 2023 selon le dernier rapport actualisé sur la mobilité de l’équipementier suédois Ericsson, ne sont pas toujours couverts par l’ensemble des bonnes pratiques de sécurité car considérés comme des équipements « à la marge ». Ils peuvent de ce fait devenir :

  • Les maillons faibles d’un système informatique (l’attaque en 2018 d’un casino via un capteur de température d’aquarium en est un parfait exemple),
  • Voire une source de risques via le détournement de leurs fonctionnalités (l’exploitation d’une vulnérabilité sur des chaussons chauffants connectés pouvait conduire au détournement de la fonction de mise en température, et à des brûlures au 3ème degré. Quid de l’impact d’une telle vulnérabilité sur une chaufferie connectée ?). La question de la confiance dans l’objet qui donne l’ordre doit donc se poser.

Par ailleurs, les données traitées par des objets connectés peuvent être de plus en plus sensibles et confidentielles (maintenance de sites industriels par le biais de la réalité augmentée, donnant accès à des données très visuelles sur les systèmes concernés, traitement de données personnelles via les montres / balances connectées, …), le renforcement de la sécurisation de l’accès à ces données devient donc d’autant plus incontournable.

Selon l’ANSSI, la réponse à ces différents sujets pourra nécessiter une réponse globale, en particulier via la normalisation, la légifération et la certification.

Le Cloud

Pour plus de flexibilité et/ou des gains économiques, les entreprises externalisent de plus en plus de services dans le Cloud, ouvrant de ce fait leurs SI vers l’externe.

Début 2019, plusieurs services en ligne ont récemment été touchés par des pannes à grande échelle. Ces évènements, du fait de la forte concentration du marché du Cloud, ont eu un impact considérable. Selon le CESIN, au-delà des impacts opérationnels à prendre en compte, les impacts en termes de sécurité, et en particulier en termes de disponibilité et de cyber résilience, doivent aussi être évalués et maitrisés dans les processus d’externalisation.

Conclusion

Pour conclure, et selon les mots de Guillaume Poupard, ANSSI, lors de la conférence d’ouverture du FIC 2019, nous sommes : « tous connectés, tous impliqués, tous responsables » vis-à-vis de la cybersécurité. La capacité de nos Etats et de nos entreprises à réagir demain de façon efficiente en cas de « cyber-Pearl Harbor » passe notamment par leur capacité à s’organiser dès maintenant, notamment via l’anticipation et la détection, la mutualisation et la collaboration.

 

Virginie Lecat,
Consultante Sécurité, Akerva

Actualités & blog

Restez informé des dernières actualités d'Akerva

RESTEZ INFORMÉ DES ACTUALITÉS AKERVA

ABONNEZ-VOUS À NOTRE NEWSLETTER