De nos jours, de nombreux facteurs ont élargi la surface d’attaque et les équipes informatiques ont du mal à suivre. On constate notamment l’impressionnante prolifération des données des organisations à travers différentes infrastructures – sur site, dans le cloud, ou le multi-cloud – la multiplication des outils, la supply chain complexe qui est souvent vulnérable, le développement des appareils IoT et le nombre croissant d’endpoints isolés. Yannick Fhima, Directeur Europe du Sud, Solutions Data Entreprise chez Elastic.
En 2022, une organisation française sur deux a été victime d’une cyberattaque, selon la septième édition du baromètre annuel du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique)1. Par ailleurs, dernièrement, le Global Cybersecurity Outlook 2023 du WEF (World Economic Forum) a révélé que 86 % des chefs d’entreprise pensent qu’il y aura un cyber événement catastrophique dans les deux prochaines années. Il s’agit désormais de savoir quand et par quelle interface le hackeur va s’introduire dans vos systèmes.
A lire aussi : [Video] Cloud de confiance : comment mettre tout le monde d’accord autour du schéma de certification européen EUCS ?
Les entreprises, les employés, les fournisseurs, les partenaires, les clients, les investisseurs, tous ces acteurs de votre organisation génèrent d’importants volumes de données. Ce sont des informations sensibles qui peuvent menacer l’existence même d’une entreprise si elles sont volées ou perdues. La sécurité est devenue un impératif pour les entreprises. Il est donc vital que les RSSI disposent des personnes, technologies et processus adéquats pour protéger tous les biens existants, peu importe où ils se trouvent. La façon dont les RSSI réagissent à une cyberattaque est tout aussi importante, et même davantage. Car la façon dont ils gèrent les conséquences peut avoir un impact considérable sur la réputation de l’entreprise et entraver ses ambitions commerciales.
Dans cette optique, voici cinq mesures essentielles à prendre pour limiter les conséquences potentiellement désastreuses d’une cyberattaque :
1- Développer des plans de réponse aux incidents et les réévaluer régulièrement
L’une des principales préoccupations des équipes de sécurité est l’évolution rapide du contexte des menaces. La cybercriminalité est globalement bien financée et ses méthodes semblent se développer à un rythme plus rapide que les solutions de défense.
La mise en place d’un plan d’intervention en cas d’incidents regroupant les protocoles que les équipes doivent suivre est la clé d’une neutralisation coordonnée et efficace. Effectuer régulièrement des tests de vulnérabilité / pentesting est un autre outil essentiel qui vous aidera à identifier vos points faibles. Connaître les faiblesses et les forces de votre environnement permet d’orienter les investissements et de définir les actions à prioriser.
2- Utiliser l’automatisation pour gagner du temps et renforcer la sécurité des données
La structure et la composition des logiciels malveillants ont pour objectif d’envahir vos systèmes sans se faire remarquer. Ils passent souvent inaperçus aux yeux des équipes et des outils de sécurité traditionnels. Le célèbre piratage de SolarWinds en est un bon exemple. Les cybercriminels ont eu accès aux systèmes de l’entreprise en septembre 2019 et ce n’est qu’en mars 2020 que la véritable attaque a été exécutée. C’est pourquoi il est essentiel de prévoir un système de protection renforcé, automatisé et à l’affût des menaces silencieuses 24 heures sur 24 et 7 jours sur 7. Des analyses avancées, telles que l’intelligence artificielle (IA) ou le Machine Learning (ML), peuvent identifier les vulnérabilités et les menaces beaucoup plus rapidement que les humains. Ce qui est particulièrement important pour réduire le temps de réaction et le temps de réparation. Bien que cet aspect soit essentiel pour les entreprises, en France, seulement 16 % des organisations utilisent des analyses avancées, selon une étude2. Il y a donc clairement une grande marge d’amélioration au sein des organisations françaises.
3- Créer et tester des solutions de secours
Dans les années à venir, les spécialistes data estiment que les logiciels malveillants vont représenter le plus gros risques pour les entreprises. Ce genre d’attaques représentent un vrai cauchemar pour les organisations. Les pirates bloquent l’accès aux systèmes et demandent des sommes exorbitantes pour rétablir l’accès aux données.
Bien que les sauvegardes soient essentielles pour la cyberdéfense, les entreprises ont tendance à les placer en bas de leurs listes de priorités. Ce n’est pas un simple exercice. Vous devez investir régulièrement dans la création, la mise en place et la réalisation de test des sauvegardes et de Plan de Reprise d’Activité (PRA). Il est également important que ces copies soient conservées hors ligne et en dehors du réseau afin d’écarter toute possibilité d’accès par les systèmes connectés.
4- Améliorer les contrôles de sécurité pour les attaques plus complexes
La complexité de la supply chain, le télétravail, la migration vers le cloud et la transformation numérique augmentent les risques d’attaques. Les organisations doivent toujours mettre en place plus de systèmes de sécurité tandis que les environnements informatiques des entreprises se développent et se multiplient.
En France, 43% des spécialistes data chercheront à remplacer ou renforcer leur système de gestion des informations et des événements de sécurité (SIEM). Les solutions SIEM traditionnelles ne disposent pas de Machine Learning pour détecter, étudier et répondre à l’évolution des menaces. Les organisations doivent moderniser et renforcer leur sécurité avec des solutions SIEM unifiées et ouvertes.
5- Travailler avec les équipes de communication pour limiter les répercussions sur la réputation de l’entreprise
Un tiers des spécialistes data français observent une dégradation de la réputation comme l’un des principaux impacts d’une attaque. En cas de cyber-incident, communiquer est vraiment primordial. Et pourtant, une fois de plus, les plans de communication de crise figurent généralement en bas de la liste des priorités des RSSI. Il faut garder à l’esprit que contrôler les messages signifie protéger la marque et limiter la propagation de la crise.
Il est important de travailler main dans la main avec les équipes de communication et juridiques pour leur présenter des scénarios d’incidents. Et ainsi, collaborer avec elles pour élaborer un plan de communication de crise contenant des messages, désignant des porte-paroles et des protocoles de flux d’information. Cela permettra de communiquer de manière efficace et contrôlée avec toutes les parties prenantes : des employés aux autorités juridiques, en passant par les journalistes et les médias.
Aujourd’hui, aucune organisation n’est à l’abri de devenir une cible pour les cybercriminels. Le moment où votre environnement sera attaqué n’est qu’une question de temps. N’attendez pas qu’il y ait une brèche pour agir. Concentrez-vous autant que possible sur les mesures préventives et assurez-vous que vous disposez des bons dispositifs pour contenir les conséquences potentiellement désastreuses d’une attaque.