stratégie
Pour mettre en œuvre des programmes de cybersécurité efficaces et maintenir l’équipe de sécurité étroitement intégrée à tous les processus opérationnels, le RSSI doit régulièrement démontrer la pertinence de son travail à la direction générale. Pour cela, il faut parler le langage des affaires, mais un piège dangereux guette ceux qui s’y risquent. Les professionnels de la sécurité et les cadres supérieurs emploient souvent le même vocabulaire, mais pour désigner des choses totalement différentes. Certains termes similaires sont parfois utilisés de manière interchangeable. Par conséquent, la direction peut ne pas comprendre quelles menaces l’équipe de sécurité tente d’atténuer, quel est le niveau réel de cyberrésilience de l’entreprise, ni où le budget et les ressources sont alloués. Par conséquent, avant de faire des présentations élégantes ou de calculer le retour sur investissement des programmes de sécurité, il convient de préciser ces nuances terminologiques importantes.
En clarifiant ces termes et en établissant un vocabulaire commun, le RSSI et le conseil d’administration peuvent considérablement améliorer la communication et, en fin de compte, renforcer la posture globale de l’organisation sur le plan de la sécurité.
Pourquoi le vocabulaire lié à la cybersécurité est important pour la direction
Les interprétations divergentes des termes ne sont pas seulement une source de désagréments – leurs conséquences peuvent être considérables. Un manque de clarté peut entraîner :
- Des investissements mal répartis. La direction pourrait approuver l’achat d’une solution confiance zéro sans se rendre compte qu’il ne s’agit que d’une composante d’un programme global à long terme dont le budget est nettement plus important. L’argent est dépensé, mais les résultats attendus par la direction ne sont jamais atteints. De même, en ce qui concerne la migration vers le cloud. La direction peut supposer que le passage au cloud transfère automatiquement l’ensemble des responsabilités de sécurité au fournisseur et, par conséquent, refuser le budget alloué à la sécurité du cloud.
- Une acceptation aveugle du risque. Les responsables des unités opérationnelles peuvent accepter les risques liés à la cybersécurité sans en comprendre pleinement l’impact potentiel.
- Un manque de gouvernance. Sans comprendre la terminologie, les dirigeants ne peuvent pas poser les bonnes questions (difficiles) ni répartir efficacement les responsabilités. Lorsqu’un incident se produit, les chefs d’entreprise ont souvent tendance à penser que la sécurité incombe entièrement au RSSI, alors que ce dernier n’a pas le pouvoir d’influencer les processus opérationnels.
Cyberrisques et risques informatiques
De nombreux dirigeants pensent que la cybersécurité est une question purement technique qu’ils peuvent confier au service informatique. Même si l’importance de la cybersécurité pour les entreprises est incontestable et que les cyberincidents figurent depuis longtemps parmi les principaux risques commerciaux, des sondages révèlent que de nombreuses organisations ne parviennent toujours pas à impliquer leurs dirigeants non techniques dans les discussions sur la cybersécurité.
On a tendance à mêler les risques de sécurité de l’information aux enjeux informatiques, comme la disponibilité des systèmes et la continuité des services. En réalité, le cyberrisque est un risque stratégique lié à la continuité des activités, aux pertes financières et à l’atteinte à la réputation.
Les risques informatiques sont généralement de nature opérationnelle et ont une incidence sur l’efficacité, la fiabilité et la gestion des coûts. La gestion des incidents informatiques est souvent entièrement prise en charge par le personnel informatique. Les incidents majeurs liés à la cybersécurité ont toutefois une portée beaucoup plus large. Ils nécessitent l’intervention de presque tous les services et ont des répercussions à long terme sur l’organisation à bien des égards, notamment du point de vue de la réputation, de la conformité réglementaire, des relations avec la clientèle et de la santé financière globale.
Conformité et sécurité
La cybersécurité est intégrée aux exigences réglementaires à tout niveau, depuis les directives internationales, telles que la NIS2 et le RGPD, jusqu’aux directives sectorielles transfrontalières, telles que la norme PCI DSS, en passant par les mandats ministériels spécifiques. En conséquence, la direction des entreprises considère souvent les mesures de cybersécurité comme des cases à cocher pour se conformer aux normes, estimant qu’une fois les exigences réglementaires satisfaites, les problèmes de cybersécurité peuvent être considérés comme résolus. Cette mentalité peut découler d’un effort conscient visant à minimiser les dépenses liées à la sécurité (« nous ne faisons pas plus que ce qui nous est demandé ») ou d’une incompréhension réelle (« nous avons passé avec succès l’audit ISO 27001, nous sommes donc à l’abri des piratages »).
En réalité, la conformité consiste à satisfaire aux exigences minimales des auditeurs et des organismes de réglementation gouvernementaux à un moment donné. Malheureusement, les cyberattaques à grande échelle qui ont touché de grandes organisations prouvent que les exigences « minimales » méritent bien leur nom. Pour assurer une protection réelle contre les cybermenaces modernes, les entreprises doivent améliorer en permanence leurs stratégies et mesures de sécurité en fonction du profil de risque de leur secteur d’activité.
Menace, vulnérabilité et risque
Ces trois termes sont souvent utilisés comme synonymes, ce qui conduit à des interprétations erronées de la part de la direction : « Notre serveur présente-t-il une vulnérabilité critique ? Cela signifie que nous courons un risque critique ! » Pour éviter la panique ou, à l’inverse, l’inaction, il est essentiel d’utiliser ces termes avec précision et de comprendre comment ils s’articulent les uns par rapport aux autres.
Une vulnérabilité est une faiblesse, une « porte ouverte ». Il peut s’agir d’une faille dans le code logiciel, d’un serveur mal configuré, d’une salle de serveurs non verrouillée ou d’un employé qui ouvre toutes les pièces jointes des emails.
Une menace est une cause potentielle d’incident. Il peut s’agir d’un acteur malveillant, d’un programme malveillant ou même d’une catastrophe naturelle. Une menace est tout ce qui est susceptible de « franchir cette porte ouverte ».
Le risque correspond à la perte potentielle. Il s’agit de l’évaluation cumulative de la probabilité d’une attaque réussie et de ce que l’organisation risque de perdre en conséquence (l’impact).
Les liens entre ces éléments s’expliquent le mieux à l’aide d’une formule simple :
Risque = (Menace × Vulnérabilité) × Impact
Voici un exemple illustrant ce principe. Imaginons qu’une vulnérabilité critique avec un niveau de gravité maximal soit découverte dans un système obsolète. Cependant, ce système est déconnecté de tous les réseaux, se trouve dans une pièce isolée et n’est manipulé que par trois employés agréés. La probabilité qu’un attaquant y accède est proche de zéro. Cependant, l’absence d’authentification à deux facteurs dans les systèmes comptables crée un risque réel et élevé, tant en raison de la forte probabilité d’attaque que des dommages potentiels importants.
Réponse aux incidents, reprise après sinistre et continuité des activités
La perception qu’a la direction des crises de sécurité est souvent trop simplifiée : « Si nous subissons une attaque par ransomware, nous n’aurons qu’à activer le plan de reprise après sinistre informatique et restaurer les données à partir des sauvegardes ». Cependant, confondre ces concepts (et ces processus) est extrêmement dangereux.
La réponse aux incidents (IR) relève de la responsabilité de l’équipe de sécurité ou des prestataires spécialisés. Leur travail consiste à localiser la menace, à expulser le pirate du réseau et à empêcher l’attaque de se propager.
La reprise après sinistre (DR) est une tâche d’ingénierie informatique. Il s’agit du processus de restauration des serveurs et des données à partir des sauvegardes une fois que la réponse à l’incident est terminée.
La continuité des activités (BC) est une tâche stratégique qui incombe à la direction générale. Il s’agit du plan définissant la manière dont l’entreprise continue à servir ses clients, à expédier ses marchandises, à verser des indemnités et à communiquer avec la presse alors que ses principaux systèmes sont toujours hors service.
Si la direction se concentre uniquement sur la reprise, l’entreprise n’aura pas de plan d’action pour la période la plus critique de l’indisponibilité des services.
Sensibilisation à la sécurité et culture de la sécurité
Les dirigeants de tous niveaux partent parfois du principe que le simple fait d’organiser une formation à la sécurité garantit des résultats : « Les employés ont réussi leur test annuel, ils ne cliqueront donc plus jamais sur un lien de phishing ». Malheureusement, se fier uniquement aux formations organisées par les RH et le service informatique ne suffit pas. Pour obtenir des résultats, il faut changer le comportement de l’équipe, ce qui est impossible sans impliquer la direction de l’entreprise.
La sensibilisationc’est la connaissance. Un employé sait ce qu’est le phishing et comprend l’importance des mots de passe complexes.
La culture de la sécurité fait référence aux modèles comportementaux. C’est ce qu’un employé fait dans une situation stressante ou quand personne ne le regarde. La culture n’est pas façonnée par des tests, mais par un environnement propice à la signalisation des erreurs et où il est courant d’identifier et de prévenir les situations potentiellement dangereuses. Si un employé craint une sanction, il cachera un incident. Dans une culture saine, les employés signaleront un email suspect au SOC ou préviendront un collègue qui aurait oublié de verrouiller son ordinateur, devenant ainsi un maillon actif de la chaîne de défense.
Détection et prévention
Les chefs d’entreprise pensent souvent en termes dépassés, comme s’ils vivaient dans une « forteresse » : « Nous avons acheté des systèmes de protection coûteux, donc il ne devrait y avoir aucun moyen de nous pirater. Si un incident se produit, cela signifie que le RSSI a failli à sa mission. » Dans la pratique, prévenir 100 % des attaques est techniquement impossible et économiquement irréaliste. La stratégie moderne repose sur un équilibre entre la cybersécurité et l’efficacité commerciale. Dans un système équilibré, les composants axés sur la détection et la prévention des menaces fonctionnent en tandem.
La prévention permet de détourner les attaques automatisées et massives.
La détection et la réponse permettent d’identifier et de neutraliser les attaques ciblées plus avancées qui parviennent à contourner les outils de prévention ou à exploiter les vulnérabilités.
L’objectif principal de l’équipe chargée de la cybersécurité aujourd’hui n’est pas de garantir une immunité totale, mais de détecter une attaque à un stade précoce et d’en minimiser l’impact sur l’entreprise. Pour mesure l’efficacité, les entreprises utilisent généralement des indicateurs, comme le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR).
Philosophie « confiance zéro » et produits « confiance zéro »
Le concept de confiance zéro, qui implique de « ne jamais faire confiance, toujours vérifier » pour toutes les composantes de l’infrastructure informatique, est depuis longtemps reconnu comme pertinent et efficace dans le domaine de la sécurité des entreprises. Cette approche implique une vérification systématique de l’identité (comptes utilisateurs, appareils et services) et du contexte pour chaque demande d’accès, en partant du principe que le réseau a déjà été compromis.
Cependant, la présence du terme « confiance zéro » dans le nom d’une solution de sécurité ne signifie pas qu’une organisation peut adopter cette approche du jour au lendemain simplement en achetant le produit.
La confiance zéro n’est pas un produit que l’on peut « activer ». Il s’agit d’une stratégie architecturale et d’un processus de transformation à long terme. La mise en œuvre du modèle de confiance zéro exige une restructuration des processus d’accès et une amélioration des systèmes informatiques afin de garantir une vérification continue des identités et des appareils. L’acquisition d’un logiciel, sans évolution des processus, n’aura qu’un impact limité.
Sécurité du cloud et sécurité dans le cloud
Lors de la migration des services informatiques vers une infrastructure cloud comme AWS ou Azure, on a souvent l’illusion d’un transfert total des risques : « Nous payons le fournisseur, donc la sécurité lui incombe désormais ». Il s’agit là d’une idée fausse dangereuse et d’une interprétation erronée de ce que l’on appelle le modèle de responsabilité partagée.
La sécurité du cloud relève de la responsabilité du fournisseur. Elle protège les centres de données, les serveurs physiques et le câblage.
La sécurité dans le cloud relève de la responsabilité du client.
Les discussions concernant les budgets des projets cloud et leurs aspects sécuritaires doivent être accompagnées d’exemples concrets. Le fournisseur protège la base de données contre tout accès non autorisé conformément aux paramètres configurés par les employés du client. Si des employés laissent une base de données ouverte ou utilisent des mots de passe faibles, et si l’authentification à deux facteurs n’est pas activée pour le panneau d’administration, le fournisseur ne peut empêcher des personnes non autorisées de télécharger les informations, ce qui arrive malheureusement trop souvent. C’est pourquoi le budget alloué à ces projets doit tenir compte des outils de sécurité cloud et de la gestion de la configuration côté entreprise.
Recherche de vulnérabilités et tests d’intrusion
Les dirigeants confondent souvent les contrôles automatisés, qui relèvent de la cyberhygiène, avec l’évaluation de la résilience des infrastructures informatiques face à des attaques complexes : « Pourquoi payer des pirates informatiques pour un test d’intrusion alors que nous effectuons une analyse hebdomadaire ? »
La recherche de vulnérabilités consiste à vérifier une liste spécifique de ressources informatiques afin d’y détecter d’éventuelles failles connues. Pour simplifier, c’est comme si un agent de sécurité faisait des rondes pour vérifier que les fenêtres et les portes du bureau sont bien fermées.
Le test d’intrusion (pentesting) est une évaluation manuelle visant à évaluer la possibilité d’une violation réelle en exploitant des vulnérabilités. Pour poursuivre l’analogie, cela reviendrait à engager un cambrioleur professionnel pour qu’il tente de s’introduire dans le bureau.
L’un ne remplace pas l’autre. Pour comprendre sa véritable exposition aux risques de sécurité, une entreprise a besoin des deux outils.
Équipements administrés et surface d’attaque
Une idée fausse courante et dangereuse concerne l’étendue de la protection et la visibilité globale dont bénéficient les services informatiques et de sécurité. Une phrase qui revient souvent en réunion est : « Nous disposons d’un inventaire précis de notre matériel. Nous protégeons tout ce que nous possédons. »
Les équipements informatiques gérés sont des ressources achetées et configurées par le service informatique, et visibles dans ses rapports.
Une surface d’attaque désigne tout ce qui est accessible aux pirates informatiques : tout point d’entrée potentiel dans l’entreprise. Il s’agit entre autres du Shadow IT (services cloud, applications de messagerie personnelle, serveurs de test…), c’est-à-dire tout ce que les employés lancent eux-mêmes en contournant les protocoles officiels afin d’accélérer ou de simplifier leur travail. Bien souvent, ce sont ces éléments « invisibles » qui constituent le point d’entrée d’une attaque, car l’équipe de sécurité ne peut pas protéger ce dont elle ignore l’existence.
