Cyberguerre, ransomware, espionnage, malveillance ou simplement accidents, il y a pour un Chief Security Officer mille raisons de considérer le moindre sujet comme une “tendance”. Le nouveau Chief Security Officer de Pentalog Logan Fernandez et son équipe ont identifié 5 dossiers qui seront, selon eux, prépondérants pour toutes les entreprises liées au digital… C’est-à-dire, à peu de chose près, toutes les entreprises.
1. “Suppliers Management” : le caillou dans la chaussure !
La gestion des fournisseurs devient un enjeu de plus en plus préoccupant. Les entreprises investissent pour se prémunir des attaques et accidents, mais qu’en est-il de leurs partenaires et autres parties prenantes ? Ont-ils acquis la même maturité ? Sont-ils sensibilisés aux risques ? Ne vont-ils pas laisser ouvertes les portes que vous mettez tant d’énergie à fermer ?
A lire aussi : Cyberdéfense : il manque 20 000 à 30 000 profils en France
On se base souvent sur la parole du fournisseur, on lui fait remplir un questionnaire mais il est rare d’opérer un audit factuel complet. Alors bien entendu s’il y a un problème, on peut se retourner contre lui. Mais le mal est déjà fait et il peut coûter cher.
Autrement dit, imposer des exigences contractuelles est un moyen de se protéger nécessaire mais insuffisant. Le moyen le plus efficace reste de mesurer soi-même les risques auxquels il fait face ; et de déployer des mesures de sécurité qui visent à réduire le plus possible ces risques. Vrai sujet de complexité.
2. Déployer l’”Awareness” devient urgent
Le grand enjeu en 2022 sera humain, pas seulement technologique.
Sensibiliser les collaborateurs aux problématiques de sécurité est bien souvent aussi réjouissant que de leur imposer un exercice anti-incendie sous la pluie fin novembre. Au-delà du manque d’intérêt, chacun se dit que tout ira bien, que l’équipe sécu s’en chargera, qu’il y a des back-ups, des prestataires dont c’est le métier, et surtout, “on n’a pas que ça à faire…”.
Grosse erreur. La sécurité de l’information est désormais l’affaire de tous, à tous les échelons et en permanence. Une formation d’une heure une fois par an ne suffit pas pour faire comprendre le rôle que chacun a à jouer pour son propre avenir. Si l’entreprise est touchée, tous seront touchés par rebond. Opérations ralenties ou stoppées, retards de livraison, réputation affectée, baisse du chiffre, moins de commandes, blocage des salaires, licenciements… Un scénario qui n’a rien d’excessif, et qui peut partir d’une petite faille de sécurité.
Deux sujets critiques émergent dans le lot : le ransomware et le phishing, et ils sont bien souvent liés à des erreurs humaines, malgré toutes les mesures prises en amont.
Pour le ransomware, les entreprises ne souhaitant pas avouer leurs manquements, elles ont tendance à payer et ça coûte très cher. Le ransomware est devenu un business florissant qui utilise souvent des portes grandes ouvertes… par des humains mal préparés.
A lire aussi : Présidentielles 2022 : Le Cesin interpelle les candidats avec 10 propositions sur la cybersécurité
Pour le phishing, il faut cesser de penser qu’on est plus malin que les autres, qu’on ne se fait jamais avoir par des messages trop grossiers, écrits avec les pieds et provenant d’adresses facilement détectables. Ça, c’était avant. Les fraudeurs font désormais preuve de beaucoup d’inventivité et il suffit d’un seul collaborateur distrait pour pénétrer le système.
Une sensibilisation efficace passe notamment par la capacité chez les responsables sécurité de s’adapter aux différents métiers de l’entreprise, d’en comprendre les fonctionnements propres, les attentes, les besoins et les limites ; puis de bâtir la stratégie en fonction. La sécurité finit alors d’être une contrainte mais devient un avantage business et opérationnel. C’est ce qui maximisera l’adoption et la synergie avec l’ensemble des parties prenantes.
3. Le ROI de la sécurité au cœur du business
Historiquement un métier très technique, placé sous la responsabilité du CIO ou du CTO, la sécurité de l’information s’est récemment frayée un chemin vers le management, voire le top management. La prise de conscience globale de l’importance de ces sujets a permis au CISO de gagner en légitimité dans les plus hautes instances de l’entreprise. Conséquence directe : il faut maintenant rendre des comptes à ce niveau-là. La sécurité devient un sujet de ROI – Return on Investment – comme les autres. Les entreprises ont désormais besoin d’obtenir une vision claire sur les coûts et les revenus générés par les mesures déployées.
Mais en matière de sécurité, le ROI est complexe à mesurer, car corrélation n’implique pas causalité. Parce qu’on a fait le nécessaire, la surface d’attaque va diminuer, voire grandement diminuer, certes… Mais ce n’est pas parce qu’aucune attaque n’a été identifiée, qu’on a forcément fait le nécessaire. Peut-être n’avons-nous pas encore été attaqués ? Ou peut-être l’avons-nous été, mais nous n’en avons même pas conscience ? Comment s’attribuer de façon certaine le fait que tout aille bien ou mieux ?
Il est donc devenu primordial pour le business de se piloter à l’aide d’indicateurs pertinents, mesurables et comparables. L’un de ces indicateurs peut être le pourcentage de conformité de l’entreprise vis-à-vis de certains standards de renom international, comme la norme ISO27001, qui a le mérite de fournir un cadre de management de la sécurité dans les différents métiers de l’organisation.
4. L’Automatisation, contre les attaques “Zero-day”
En matière de sécurité, l’automatisation n’a pas seulement des vertus d’optimisation opérationnelle, elle est stratégique face à la malveillance.
En effet, les équipes sécurité passent aujourd’hui l’immense majorité de leur temps à maintenir un système fiable dans le temps présent. C’est la base du métier, la garantie de continuité de service.
Or, à l’autre bout du réseau, les hackers préparent l’avenir. Ils se concentrent sur le futur en imaginant des attaques et des failles qui n’existent pas encore. C’est ce qu’on appelle les “zero day”, des attaques qui ont lieu quand les cybercriminels exploitent les failles sans laisser le temps aux développeurs de corriger le tir. Pourquoi ces derniers n’ont-ils pas le temps ? Parce qu’ils ont le nez dans le guidon de la maintenance quotidienne. La boucle est bouclée.
Pour casser ce cercle vicieux dangereux, il faut diminuer partout où c’est possible les tâches répétitives chronophages et génératrices d’erreurs, et pousser à l’automatisation. Le temps gagné permettra aux équipes d’innover, d’anticiper, de préparer l’avenir et de jouer à armes un peu plus égales face au côté obscur.
Bien entendu, l’automatisation génère de nouveaux risques, mais ces risques sont là aussi maitrisables et mesurables. C’est donc une bataille de risques qui se joue ici, en conscience, un habile dosage entre présent et avenir, maintenance et innovation.
5. Les nouvelles brèches du travail en remote
Contraintes par la pandémie, la plupart des entreprises ont grandement développé leur politique de télétravail. Elles sont de plus en plus nombreuses à permettre une flexibilité aux collaborateurs, afin qu’ils puissent travailler dans des lieux de confiance, chez eux, en famille, en espaces partagés, etc.
Cette nouvelle liberté rend bien entendu plus complexe le contrôle de l’édifice sécuritaire. Connexion à distance, cohabitation des matériels personnels et professionnels, usages mixtes, membres de la famille ayant accès aux ordinateurs et tablettes, travail en réseau, dans des cafés ou des espaces de coworking… Des milliers de brèches possibles apparaissent avec ces nouvelles façons de collaborer, il faut les prendre en compte très rapidement.
La sécurité rigide, quasi impossible à tenir dans ces conditions, n’a peut-être plus sa place dans les entreprises en 2022, laissant place à l’Agilité et à de nouvelles façons d’apprécier la notion de risque.
Parmi les mille tendances possibles et qui coexistent, nous relevons donc un schéma persistant autour du rapport du comportement des collaborateurs face à la malveillance. En 2022, il faudra donc mieux se former pour mieux comprendre le rôle de chacun, en interne et chez les partenaires ; mieux anticiper les failles en accordant plus de temps à l’innovation ; mesurer et évaluer les risques en permanence pour prendre des décisions “agiles” adaptées à l’imagination infinie des cybercriminels ; épouser les mutations du travail et mieux comprendre les utilisateurs et leurs métiers pour que la sécurité soit perçue non pas comme une contrainte, mais bien comme un atout.