Les révélations d’incidents de sécurité ont-elles un réel impact ?

Des investissements à trois ou quatre ans

Chez Balabit, Balazs Scheidler relève que « les organisations ont des niveaux de sophistication différents lorsqu’elles se penchent sur leur posture de sécurité ». Certaines sont plus avancées, notamment sous l’effet de la pression économique et réglementaire, mais les autres, où l’impact [d’une brèche] serait plus faible, sont moins concentrées sur leurs initiatives de cybersécurité ». Alors oui, « les brèches comme celle d’Acer et d’autres avant, aident à améliorer cette compréhension ». Mais ce n’est pas suffisant : pour une organisation un peu complexe, « construire ou reconstruire son infrastructure de cybersécurité est un investissement sur 3 ou 4 ans. Et cet investissement ne doit pas se limiter aux produits, mais intégrer les personnes et les processus ». Et si le budget peut constituer un obstacle, « recruter les talents nécessaires, construire le savoir, et couvrir l’ensemble de l’organisation est bien plus difficile que la plupart des investissements stratégiques. Parce que cela implique les personnes ».

« Ça ne peut pas m’arriver »

Chez Cheapset, intégrateur du groupe Newlode, Arnaud Cassagne, directeur du développement, distingue les attaques communes – rançongiciel, DDoS, etc. – des attaques plus ciblées : « les premières mobilisent une énergie fille au sein des équipes de sécurité. […] Il faut automatiser une partie des traitements, et beaucoup d’entreprises ne sont pas prêtes à cela […] elles font du cousu-main par peur des faux-positifs. Pour les secondes, la tâche est plus complexe. Il faut toucher à l’outillage, toujours coûteux, mais aussi à l’organisation ». Même son de cloche, donc : « toucher à l’organisation d’une entreprise, même à l’échelle d’un des métiers (en l’occurence l’IT, qui est transverse, et à un impact de plus en plus important sur le business et la façon de travailler d’une entreprise), c’est généralement compliqué ».

Mais pour Arnaud Cassagne, « durant les dernières années, il a également été surprenant de constater que l’effet ça ne peut pas m’arriver était toujours aussi présent. Certains ont encore tendance à penser que seules les très grandes entreprises sont concernées, et ne mesurent pas l’ampleur de la tâche à accomplir pour avoir un niveau de sécurité décent. Si nous ajoutons à cela le fait qu’une majorité des audits menés le sont par des sociétés qui font plus de la conformité que de la sécurité. Leurs recommandations datent malheureusement d’un autre temps, aujourd’hui révolu… Le portrait est assez noir, mais il ne faut ne pas oublier les bons élèves, qui entreprennent des chantiers ambitieux, mais forcément longs ».

Cette difficulté liée au temps, Pierre-Yves Popihn, directeur technique NTT Com Security France, l’observe également. Mais, s’il estime que « les attaques très médiatisées de l’année dernière ont permis une prise de conscience de nos clients », il constate, sévère, que « dans les faits, cette prise de conscience n’est pas suivie par des actes concrets. Nous observons une augmentation du nombre d’entreprises n’ayant pas de plan de réponse à incidents ».

Le jeu du gendarme et du voleur, version 2.0

Loïc Guézo, expert du Cercle des Assises de la Sécurité, ne peut s’empêcher de le constater : « le nombre et la portée des attaques continuent de croître et de surprendre. Beaucoup d'efforts sont réalisés, mais les attaquants sont particulièrement motivés et réactifs ; en face, il reste un vrai problème de réactivité quant à la détection des attaques ciblées par les entreprises. Le point d'entrée restant l'humain et l'utilisation d'une faille humaine avant une faille technique – ouvrir une pièce jointe, surfer sur un site contaminant, clé usb, etc. –, avec ensuite des techniques de furtivité efficientes. En cas de faille technique, la sanction est encore plus directe ! »

Surtout, pour lui, les attaquants s’avèrent de plus en plus professionnalisés, partageant des informations, ou mettant des outils à disposition en mode service. « En face, Interpol, Europol et les polices nationales mettent les bouchées doubles pour rester dans la course, mais le rythme n'est pas le même : la collaboration internationale reste lente et complexe face au recrutement d'équipes virtuelles, internationales, mobiles… » Alors pour Loïc Guézo, « seule la loi et les autorités pourront obliger les entreprises à passer à la vitesse supérieure ». Même si des dispositifs tels que la directive NIS ou la LPM ne concernent que les organisations plus critiques.

Technologies : choix ou acte de foi ?

Philippe Rondel, directeur technique de Check Point France, souligne également une professionnalisation des pirates qui s’accélère… « bien plus, ces deux dernières années, que l’effort mené par les entreprises cibles. Les entreprises doivent non seulement surveiller leurs serveurs sensibles et exposés au monde extérieur mais doivent en plus adresser la problématique de la vulnérabilité des postes de travail qui sont de véritables portes d’entrée vers l’ensemble du système d’information, lui-même encore peu cloisonné. Les risques sont donc de plus en plus vastes et l’effort, financier mais aussi humain, n’est pas en adéquation ».

Dans ce contexte, il estime que les entreprises sont confrontées à un double défi : « repenser une sécurité plus globale – multiplier les solutions pour un type de cible, puis re-mutiplier tout cela par le nombre d’environnements à protéger n’est plus une approche envisageable et évolutive – ; et choisir les bonnes technologies pour se protéger contre ces attaques qui ne sont pas encore ni bien connues ni bien maitrisées ». Et là, pour Philippe Rondel, il apparaît encore difficile « d’évaluer la solution capable de protéger contre les attaques de demain et encore inconnues ». Mais « face à cette difficulté, beaucoup décident malheureusement d’attendre… »

Difficile analyse des risques

Mais la cybersécurité n’en est pas moins en compétition avec les autres risques menaçant les entreprises. Pour Loïc Guézo, « elle est aujourd'hui confrontée à une approche par les risques claire, mais parfois avec des résultats inverses aux premières approches : arrivant au COMEX, pour un risque à couvrir de 10 M€, elle n'est pas audible quand le risque industriel parle de 500 M€, par exemple. Et il est difficile encore d'expliquer, même si c'est clairement le cas, que demain, un accident industriel lourd viendra d'une attaque informatique ».

Stéphane de Saint Albin, vice-président marketing et développement de DenyAll, n’est pas tendre : « les attaques qui défraient la chronique sont tellement fréquentes qu’on peut douter de leur impact sur les décideurs. Les directions des entreprises victimes jurent qu’on ne les y prendra plus, mais elles sont souvent trop prisonnières de l’urgence pour prendre le recul nécessaire. Les mésaventures d’Acer, Sony, Target ou TV5 Monde ont certes fait progresser la prise de conscience dans les conseils d’administration. Mais elles n’ont pas encore déclenché une remise à plat généralisée de la gestion des risques et des critères d’investissement ».

Surtout, pour lui, la difficulté principale à laquelle peuvent se heurter les organisations est à chercher du côté de l’analyse des risques : « celle-ci doit passer par une évaluation pragmatique des cas d’usages et l’identification des comportements à risque. Elle requiert une bonne compréhension des techniques d’attaque et d’évasion. Il faut ensuite opérer un changement de regard sur la manière la plus adéquate d’y répondre, en ayant le courage de remettre en causes certains préjugés. Attention aux réflexes de Pavlov (investir plus en sécurité réseau), à la création d’usines à gaz (SOC et SIEM) ou aux technologies de l’avenir du futur, marketées à grandes doses d’acronymes (APT) et de mots à consonance magique (machine learning, intelligence artificielle). On peut réduire efficacement les risques en déployant des contrôles de sécurité éprouvés, appliqués au niveau des applications et intégrant la dimension comportementale, pour adapter la sécurité au contexte des utilisateurs et éviter ainsi qu’elle ne soit contournée ».

Le prix à payer pour des systèmes patchworks

Pour Laurent Pétroque, responsable avant-vente France de F5 Networks, « l’attaque subie par Acer montre que le suivi des applications et de leur sécurité n’est pas une tâche aisée […] Il faut considérer que les outils constituant les boutiques en ligne proviennent de sources diverses et variées. Dans le cas présent, la base est une solution open source, soumise à des mises à jours régulières, qu’il n’est pas toujours évident d’appliquer en situation de production critique. On se rend donc compte que le maintien de la sécurité doit respecter des enjeux sécuritaire, business et de production ». Pour autant, « cet incident aurait pu être évité avec des procédures et des outils adéquats en place ». Et de souligner au passage que « des solutions de filtrage applicatif web auraient pu contrôler la mise en place des modifications de page ou bien la propagation des attaques sournoisement installées. Par ailleurs, l’exécution de test de vulnérabilités réguliers remonte, en général, les points de sécurité à adresser en les classant suivant leur sévérité ». Et cela d’autant plus que « le maintien de la sécurité, en particulier sur le framework e-commerce utilisé par Acer, est une tâche difficile à réaliser sans de tels outils. Des tests de sécurité sur Internet révèlent que de nombreux sites utilisant ce framework pourraient encore être vulnérables ».

Accepter une phase de risque

Dans ce contexte peu encourageant, Cyril Corcos, responsable de la practice GRC chez Harmonie Technologie, estime que « la question n’est pas de savoir si l’entreprise va être la cible d’attaques (et affectée), mais comment limiter leurs effets ». Et pour lui, cela passe tant par la réduction de l’exposition aux risques que par le développement « d’une stratégie de résilience pour mieux faire face à un incident ».

Mais voilà, les freins sont nombreux. Les programmes de cybersécurité sont vastes et « la sécurisation de centaines de milliers de composants mécaniquement des investissements qui ne peuvent que s’étaler sur plusieurs années ». Et pour peu que ceux-ci aient été réalisés, le maintien du niveau voulu de sécurité coûte cher : « l’effort doit être maintenu, entre exploitation et évolution. Il est important de mettre à jour ses systèmes, en s’étant évidemment assuré au préalable que les évolutions ne vont pas altérer le service. La sécurité est donc un investissement continu […]. Tout ceci a encore une fois un coût et prend du temps, ce qui signifie d’accepter la persistance des risques pendant une certaine période ».

Mais cela ne veut pas dire rester les bras croisés, à plus forte raison « car le risque 0 n’existe pas ». D’où l’importance de la résilience : « les vulnérabilités existantes non encore publiées sont par définition des failles de sécurité pour lesquelles il n’y a pas de mesures directes de protection ». Des mesures de protection « à large spectre existent – préventives, comme le cloisonnement de réseau, détectives comme la qualification d’activités suspicieuses –, mais il faut se rendre à l’évidence que […] les incidents de sécurité sont inévitables ». Dès lors, le plan d’action post-incident doit être en place ».