L’équipe Akerva s’est rendue les 22 et 23 Janvier derniers à l’édition 2019 du Forum International de la Cybersécurité (FIC).
Au-delà de notre présence sur un stand dédié, nous avons eu l’occasion d’assister à plusieurs conférences aux sujets variés desquelles quelques grandes thématiques et tendances se dégagent.
Le nombre de cyberattaques continue d’augmenter. L’actualité de ce début d’année 2019 est là pour nous le rappeler :
Cette multiplication d’attaques s’explique par différents facteurs, notamment par :
Par ailleurs, la visibilité de ces attaques augmente, que ce soit :
En fonction des études, on estime de 50% à 80% le nombre d’attaques qui se sont produites du fait d’un vecteur humain. Touchant autant les Etats et les citoyens que les grandes entreprises et leurs collaborateurs, il semble donc que la cybersécurité soit, aujourd’hui plus qu’avant, l’affaire de tous.
Au niveau de l’Etat
Au niveau étatique, avec la hausse du risque de conflit à grande échelle, et d’attaques ciblées sur des entreprises sensibles pour l’activité économique d’un Etat, des dispositifs dédiés sont mis en œuvre ou renforcés :
Des programmes de sensibilisation dédiés à destination des citoyens sont par ailleurs mises en œuvre (le « Permis Internet » à destination des enfants, le MOOC de l’ANSSI…) et des plateformes de remontées d’alertes sont mises en place (https://www.signal-spam.fr/ pour le phishing, Perceval pour les fraudes à la carte bancaire…). Ces différents dispositifs viennent renforcer la récente prise de conscience collective autour du risque Cyber et impliquer l’ensemble des citoyens dans leur mitigation.
Au niveau des entreprises
Environ 60% des attaques de ces dernières années ont ciblé des entreprises. De ce fait, le risque Cyber prend dans les entreprises une dimension de plus en plus stratégique, au-delà de ses dimensions opérationnelles et techniques. Le risque devient donc l’affaire de tous, y compris du Top Management, et non seulement l’affaire des équipes techniques.
Afin de mieux maîtriser ces risques, l’anticipation des situations potentielles et la mise en place de processus dédiés doivent être établis afin d’être réactifs en cas d’attaque. De ce fait, on assiste au renforcement :
On retrouve d’ailleurs ce phénomène d’intégration dans la nouvelle version d’Ebios Risk Manager, qui introduit une démarche collaborative et globale. Les métiers participent notamment à l’élaboration des scénarios de risque, basés sur des situations réelles et/ou très probables. La Cybersécurité devient donc de plus en plus vivante et commune, et son évaluation est aussi l’occasion de faire de la pédagogie.
Finalement, comme indiqué par le Global Chief Information Security Officer d’une grande banque française, au-delà d’être un vecteur d’attaque, l’humain peut aussi être un vecteur de détection et un lanceur d’alerte. Y compris dans les cas où la sécurité n’est pas au cœur de son métier. On assiste d’ailleurs au niveau des entreprises à un renforcement des actions de sensibilisation avec comme finalité de faire de l’humain un maillon fort dans la chaine du risque Cyber.
L’une des difficultés aujourd’hui est de définir les contours d’un SI (Système d’Information). En effet, d’un système délimité et connecté à l’internet via un nombre fini de connections, le SI est aujourd’hui une nébuleuse composée de multiples satellites tous connectés (équipements mobiles, équipements connectés…) et dont les services peuvent être externalisés (phénomène du Cloud).
Par ailleurs, des systèmes anciennement fermés, les systèmes industriels ou embarqués (exemple de la voiture connectée) notamment, sont de plus en plus connectés. La potentielle surface d’attaque du SI augmente en conséquence, sur des éléments dont la sécurité est souvent à renforcer.
Les systèmes industriels
Parfois obsolètes (par manque de mises à jour pour des raisons économiques et/ou d’homologation), les systèmes industriels (OT) présentent par ailleurs des problèmes d’interopérabilité avec les systèmes informatiques (IT). Cela amène deux réflexions :
Les objets connectés
Les objets connectés, dont on estime le nombre à 20 milliards d’ici fin 2023 selon le dernier rapport actualisé sur la mobilité de l’équipementier suédois Ericsson, ne sont pas toujours couverts par l’ensemble des bonnes pratiques de sécurité car considérés comme des équipements « à la marge ». Ils peuvent de ce fait devenir :
Par ailleurs, les données traitées par des objets connectés peuvent être de plus en plus sensibles et confidentielles (maintenance de sites industriels par le biais de la réalité augmentée, donnant accès à des données très visuelles sur les systèmes concernés, traitement de données personnelles via les montres / balances connectées, …), le renforcement de la sécurisation de l’accès à ces données devient donc d’autant plus incontournable.
Selon l’ANSSI, la réponse à ces différents sujets pourra nécessiter une réponse globale, en particulier via la normalisation, la légifération et la certification.
Le Cloud
Pour plus de flexibilité et/ou des gains économiques, les entreprises externalisent de plus en plus de services dans le Cloud, ouvrant de ce fait leurs SI vers l’externe.
Début 2019, plusieurs services en ligne ont récemment été touchés par des pannes à grande échelle. Ces évènements, du fait de la forte concentration du marché du Cloud, ont eu un impact considérable. Selon le CESIN, au-delà des impacts opérationnels à prendre en compte, les impacts en termes de sécurité, et en particulier en termes de disponibilité et de cyber résilience, doivent aussi être évalués et maitrisés dans les processus d’externalisation.
Pour conclure, et selon les mots de Guillaume Poupard, ANSSI, lors de la conférence d’ouverture du FIC 2019, nous sommes : « tous connectés, tous impliqués, tous responsables » vis-à-vis de la cybersécurité. La capacité de nos Etats et de nos entreprises à réagir demain de façon efficiente en cas de « cyber-Pearl Harbor » passe notamment par leur capacité à s’organiser dès maintenant, notamment via l’anticipation et la détection, la mutualisation et la collaboration.
Virginie, Consultante Sécurité chez Akerva