Développer la cyber-résilience pour les entreprises

La démocratisation de l’outil informatique depuis deux décennies dans les petites et moyennes entreprises a considérablement augmenté la vulnérabilité de ces organisations. De nombreuses informations sur la santé financière, les projets de développement, ou encore les bases de données clients sont accessibles aux pirates informatiques aguerris.

Les différentes typologies d’attaques

Les typologies d’attaques sont nombreuses, la technicité et l’efficacité évoluant très rapidement. Les hackers peuvent, par exemple, chercher à obtenir des renseignements par intrusion dans le système informatique, par usurpation d’identité, ou bien à détruire le patrimoine informationnel adverse. Les virus et Chevaux de Troie commencent à être bien connus des utilisateurs. C’est moins le cas des menaces persistantes avancées désignées par l’acronyme APT (issu de l’anglais Advanced Persistent Threats). Ces attaques sont construites pour des cibles précises et privilégient la furtivité. Un exemple célèbre est le ver Stuxnet qui, introduit par une clé USB infectée sur des centrifugeuses iraniennes, a conduit à la destruction physique de celles-ci.

Faible sensibilisation à la cyber-sécurité dans les PME

Les PME françaises sont, pour la plupart, peu conscientes des risques de cyber-attaque sur leur patrimoine informationnel. Le manque de temps ainsi que l’idée de ne représenter que peu d’intérêt aux yeux d’un hacker expliquent le plus souvent l’absence de démarche de sécurisation de l’information. Ce constat se vérifie en fonction de la taille des entreprises, où les entreprises de moins de 10 salariés sont, en proportion, encore plus nombreuses à ne pas développer ce type de pratiques. Le manque de compétences et le manque de ressources à engager sur le projet sont aussi des facteurs explicatifs si l’on en croit les résultats de l’enquête dirigée par la CCI de Bretagne.

La mise en œuvre d’outils et de méthodes de sécurité informatique fait trop souvent suite à l’expérience d’une première cyberattaque. Les conséquences sont alors à géométrie variable et les entreprises touchées peuvent se retrouver en position très délicate. Cependant, de plus en plus de PME s’équipent d’un système de protection après avoir suivi un séminaire de sensibilisation aux enjeux de la cyber-sécurité. La gendarmerie, l’ANSSI ou encore certaines CCI proposent des actions de sensibilisation et d’information sur ce sujet. Denis Deschamps, responsable du pôle Innovation/Intelligence économique de la CCI Paris Ile-de-France mentionne notamment la compétence de son équipe ARIST sur les problématiques de sécurité économique et également de propriété industrielle. L’ARIST Paris Ile-de-France organise ainsi régulièrement les Matinales de l’intelligence économique et stratégique (IES) pour accompagner le développement des PME.

La frustration suivant une cyber-attaque pourrait pousser à considérer une solution de protection du patrimoine informationnel qui ne serait qu’un empilement d’outils informatiques. Outre le coût élevé d’un tel système de protection, il est fort à parier que son efficacité tout comme son efficience seraient limitées.  Efficacité tout d’abord, car les temps où l’on pouvait exiger une protection à 100% en cyber-sécurité sont révolus. Efficience ensuite, car il est inutile de traiter tous les actifs et tous les risques à égalité. L’entreprise doit donc s’obliger à prioriser le caractère stratégique de ses actifs.

La pertinence des modèles de résilience

Les modèles de protection traditionnels basés sur la cyber-sécurité se révèlent cependant insuffisants dans un environnement de menaces sophistiquées. En effet, les entreprises, y compris les PME, doivent comprendre que les cyber-attaques les affecteront tôt ou tard, indépendamment des efforts de prévention qu’elles auront mis en œuvre. Aussi, la conséquence létale pour l’entreprise pourrait ne pas être l’attaque dont elle fut victime, mais son incapacité à relancer son activité dans un délai assez court. Dès lors, le développement d’un plan de cyber-résilience parait mieux adapté aux problématiques actuelles.

La cyber-résilience se définit comme la capacité d’un système à résister à une cyber-attaque et à continuer de fonctionner en garantissant un certain niveau de service (mode complet ou mode dégradé) puis revenir à son état initial après l’incident. La cyber-résilience consiste à gérer la sécurité en adoptant une approche globale qui implique les employés, les processus et les outils technologiques. L’environnement de l’entreprise évolue constamment, et transforme ainsi ses besoins mais crée aussi de nouvelles menaces. Pour cette raison, la cyber-résilience doit faire l’objet d’améliorations continues.

Un processus reposant sur cinq piliers

Préparation et Identification : La formation et la sensibilisation du personnel revêtent un caractère particulièrement important. Il est impératif que les employés connaissent les meilleurs comportements et les bons réflexes relatifs à la cyber-sécurité. Cette étape est aussi le moment pour l’entreprise d’identifier ce qui est vital à son activité. Toutes les parties prenantes devront juger de la criticité des informations et établir une hiérarchisation de la protection.

Protection : Une fois les actifs-clés identifiés, il convient de choisir la protection adaptée qui limitera l’impact d’une attaque. La protection, l’intégrité et la gestion des informations sont des considérations majeures, notamment la protection contre la perte de données ou l’accès illégal. Des structures comme l’ARIST Paris Ile-de-France peuvent aider les PME, comme le souligne Jennifer Ding, chargée de veille et d’analyse IE à la CCI de Paris Ile-de-France, qui  propose un diagnostic de sécurité économique à travers de nombreuses questions réparties en thématiques (salariés, fournisseurs, locaux, partenaires…). La Matinale IES (Intelligence Economique et Stratégique) organisée le 21 mars 2016 par la CCI et la direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l’emploi (DIRECCTE) Ile-de-France  sera ainsi l’occasion de présenter ce service de diagnostic sécurité économique aux entreprises.

Détection : Ce pilier porte sur les actions à mettre en place pour détecter qu’une cyber-attaque est en cours ou a eu lieu et évaluer les systèmes qui ont pu être affectés pour garantir une réponse le plus rapidement possible. Le processus de détection n’a de valeur que si le délai de réponse est rapide. La réactivité des individus et le suivi des procédures internes à l’organisation sont primordiaux.

La résolution des problèmes : L’entreprise doit mettre en place un plan de résolution des problèmes qui définira clairement la procédure à suivre en cas d’incident. Ce document devra aussi mentionner les seuils d’alerte en fonction du type d’évènement, dans l’objectif d’adapter la réponse à la gravité de la menace. L’anticipation de différents scénarios intégrant la formation et l’entrainement des employés permettra une réaction plus rapide qui pourrait se révéler salutaire.

La récupération : Malgré les actions de sensibilisation et de protection au sein de l’entreprise, certaines cyber-attaques seront un succès. L’entreprise doit alors être en mesure d’aider les employés à reprendre leurs activités, et à restaurer les processus et systèmes dès que possible. Après une attaque, il est trop tard pour établir un plan de récupération. La vulnérabilité d’une entreprise se trouve tout autant dans la protection de son information stratégique que dans sa capacité à reprendre son activité après une attaque.

                                                                                                            Vincent ROY