Que retenir des Assises de la cybersécurité ?
Où est la menace cyber à l’aube de l’année 2021 ? Pour leur 20e édition, les Assises de la cybersécurité ont dressé une cartographie des risques. Sans surprise, le contexte Covid a été propice au développement de nouvelles menaces. On fait le point.
Le contexte sanitaire a contraint les entreprises à accélérer leur transformation numérique pour assurer la continuité de leur activité. Comme le résume Satya Nadella, directeur général de Microsoft : « On a assisté à 2 ans de transformation numérique en 2 mois. » Oui mais voilà. Ces nouvelles habitudes (télétravail, e‑commerce, cloud…) augmentent la surface d’attaque, comme l’ont pointé les experts réunis aux Assises de la cybersécurité 2020. Et les cyberattaquants aussi se sont adaptés. Où en sommes-nous concrètement aujourd’hui ? Six enseignements à retenir.
1. Les questions soulevées par le cloud souverain
Faut-il lier les questions de sécurité et de souveraineté ? Le sujet, à la croisée du technologique, du juridique et du géopolitique, a été largement discuté au cours des Assises, alors que la Cour de Justice de l’Union Européenne a rendu cet été un arrêt qui plonge nombre d’entreprises dans le flou. « Cet arrêt crée une incertitude juridique qui pose des problèmes aussi bien pour les acteurs du cloud que pour les plaignants, a souligné Bernard Ourghanlian CTO et CSO, Microsoft France. La cour ne décrit pas quelles garanties supplémentaires mettre en place. Est-ce que l’on va vers une nouvelle version des clauses contractuelles types ? La cour a cassé un dispositif mais le jouet étant cassé, on ne sait pas par quoi on le remplace ! »
Guillaume Poupard, Directeur général de l’Anssi, a tenu à souligner l’enjeu collectif que ces questions soulevaient : « On doit rester maîtres de notre destin. Cela ne veut pas dire que l’on ne doit pas travailler avec des acteurs non européens, mais il y a des choses que l’on doit être capables de maîtriser en interne. » Bref, si la question de la souveraineté est légitime, elle ne doit pas devenir un synonyme de fermeture et de protectionnisme. « La possibilité d’être en maîtrise est un point essentiel, la possibilité de choisir aussi », a fait valoir Bernard Ourghanlian.
Dans un monde où les échanges sont toujours plus nombreux et où la protection des données est un enjeu majeur, la solution se trouve dans notre capacité à travailler ensemble. « Si on veut être capables de lutter contre ces menaces, on comprend qu’il n’y aura que la force du collectif qui permettra d’y répondre, a affirmé Guillaume Poupard. Et ce collectif s’incarne par des gens qui travaillent pour des startups, pour des grands groupes, au sein des opérateurs… »
2. Le cloud s’impose comme vecteur d’agilité
La crise du Covid a consacré l’essor du cloud pour assurer la continuité de son activité. Le cloud a aidé de nombreuses entreprises, quels que soient leur taille et leur secteur, à résister et à assurer la continuité de leur activité, comme en témoigne Nicolas Denisse, directeur des opérations informatiques du groupe Servier.
Le cas Servier, est éloquent. Lorsque la crise du Covid éclate et que le gouvernement français décide de confiner la population en mars, le groupe doit revoir ses process. « La direction a décidé de mettre les 23 000 collaborateurs du groupe, répartis dans 140 pays dans le monde, en télétravail. Et pour tout dire, nous n’étions pas prêts. On s’est retrouvés dans une situation compliquée car tout est “on premise”, nos passerelles VPN, etc. Donc ça ne tenait pas. » Le groupe choisit de continuer à faire travailler l’industrie et met le reste des équipes en télétravail. Un choix prudent au niveau sanitaire, mais non sans risque au niveau de la sécurité numérique…
Sécuriser le télétravail. « Sur le plan informatique, la priorité a été de couper le compte de beaucoup de collaborateurs pour ne pas qu’ils accèdent aux passerelles VPN et pour laisser le monde industriel travailler, se souvient Nicolas Denisse. La seconde étape a été de migrer vers des solutions types Office 365 et Teams. Tout s’est fait très vite : on a migré tout le monde sur Teams en un week-end ! » Une prouesse. À l’arrivée, le groupe Servier, accompagné par Microsoft, a ainsi pu mettre en place un télétravail sécurisé (on vous en dit plus dans cet article). Bref, le cloud a fait ses preuves, mais nécessite une autre approche en cybersécurité.
Lire aussi Tout savoir sur Microsoft Security
3. La pertinence de l’approche Zero Trust
Des systèmes traditionnels plus vulnérables. De nombreux systèmes d’information n’étaient pas préparés à un changement aussi brutal. En particulier ceux qui reposaient sur des mécanismes de sécurité traditionnels tels que les pare-feux ou les VPN. Bien souvent, les passerelles VPN n’étaient pas taillées pour faire face à l’augmentation brutale de trafic, que ce soit pour permettre de nouveaux modes de collaboration (comme la visioconférence) ou pour réaliser des tâches aussi simples que la mise à jour des postes de travail qui n’étaient plus connectés au réseau de l’entreprise. Puisque le télétravail prend de l’ampleur, il est nécessaire de changer d’approche.
La philosophie Zero Trust. Les organisations qui ont le mieux réussi à faire face aux menaces sont celles qui ont adopté la philosophie Zero Trust. Cette approche consiste à traiter chaque tentative d’accès comme provenant d’un réseau non approuvé, selon 3 principes :
1) Vérifier explicitement : cela suppose la mise en place d’une authentification forte, et de vérifier systématiquement chaque tentative d’accès aux services basée sur toutes les données disponibles (identité utilisateur, emplacement du terminal, son état, les services, les données, la charge de travail impliquée dans l’accès) de façon à ce que l’on puisse, à tout instant, contextualiser cet accès et ainsi l’autoriser ou non.
2) Utiliser le principe du moindre privilège, qui consiste à accorder de manière dynamique une augmentation des droits d’accès aux personnes uniquement lorsqu’elles en ont besoin, aussi longtemps qu’elles en ont besoin et uniquement pour la tâche spécifique qu’elles ont à accomplir.
3) Présupposer la violation: anticiper le fait que tôt au tard, il y aura une faille dans son système d’information. L’idée est de passer d’une approche traditionnelle à un système résistant, conçu pour permettre une détection et récupération rapides. Cela nécessite d’appliquer de nouveaux principes, comme la micro-segmentation réseau et l’analyse en temps réel, pour repérer les attaques le plus rapidement possible et les confiner.
Lire aussi Comment protéger l’ensemble du cycle de vie des données dans Azure ?
4. Le rôle central de l’identité
L’identité, nouveau périmètre de sécurité. L’approche Zero Trust conditionne chaque accès au niveau de confiance que l’on a dans l’identité de l’utilisateur. Est-ce qu’il utilise une identité lambda ou reposant sur une authentification multifacteurs ? Son terminal est-il managé par la politique de gestion et de sécurité des appareils de l’entreprise ? Est-il à jour de ses correctifs de sécurité ? Quel réseau utilise-t-il ? Bref, c’est l’idée que, à partir de cette contextualisation, on peut donner ou pas l’accès à des informations. Qu’elle représente des personnes, des services ou des objets (en IoT), l’identité joue un rôle capital. On considère que l’utilisation d’une identité forte, avec une authentification multifacteurs, réduit de 99,99% les risques de compromission liés à l’identité.
Une vision complète du risque. Pour avoir une vision de sécurité complète, il est nécessaire de bénéficier des signaux de sécurité en temps réel. Microsoft a constitué l’Intelligence Security Graph qui, à travers les 8 200 milliards de signaux de sécurité collectés chaque jour, permet d’avoir une vision transverse de la sécurité et des menaces.
Lire aussi Zero standing access : limiter les accès selon le contexte et l’usage en temps réel
5. L’enjeu de la résilience opérationnelle
« On commence à voir les Comex se préoccuper davantage de résilience opérationnelle. Si 54% des RSSI déclarent que leur plan de résilience opérationnelle les avait pas mal préparés à la pandémie, cela signifie en creux que 46% d’entre eux n’étaient absolument pas prêts. Un problème alors que la priorité des entreprises était d’assurer la continuité des opérations », souligne Bernard Ourghanlian, CTO et CSO de Microsoft France.
Un chiffre détonne : seuls 42% des dirigeants de très grandes entreprises dans le monde sont convaincus que leur organisation pourrait se remettre d’un cyberévénement majeur. C’est peu ! C’est dire si l’adoption d’un plan de continuité d’activité et de reprise après sinistre est essentielle pour construire sa résilience opérationnelle. Aujourd’hui, on considère qu’environ la moitié des entreprises en ont un. Problème : près d’un quart ne l’ont jamais vraiment testé. Dans un contexte où le risque et les enjeux de cybersécurité sont désormais connus, ne pas en avoir relève de la négligence. D’autant que les cybercriminels n’attendent pas.
Lire aussi Cybersécurité : un enjeu stratégique pour les chefs d’entreprise
6. Une cybercriminalité toujours plus dangereuse
Les rançongiciels s’imposent comme la menace informatique du moment. Ces programmes malveillants rendent impossible l’accès aux données des PC sans le paiement d’une rançon. Le site public cybermalveillance.gouv.fr comptabilise, depuis le début de l’année 2020, plus de 1 100 victimes d’une attaque de ce type dont environ ¼ de particuliers. Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), certains secteurs sont particulièrement ciblés comme l’industrie, les collectivités territoriales et la santé.
Les cybercriminels se professionnalisent. Le rapport Cyberthreat Handbook 2020, qui décortique les modes opératoires des groupes de pirates informatiques, met en évidence deux choses : une montée en sophistication des cyberattaquants et les spécificités de différents groupes de cybercriminels. Certains sont ainsi spécialisés dans le chantage à la divulgation de données (MAZE), d’autres préfèrent les logiciels de rançon (ATK88-FIN6) ou télécharger des logiciels malveillants sur les machines infectées pour garder la main dessus (Mummy Spider).
« Chaque groupe se spécialise puis s’entraide pour bénéficier de l’expertise des autres. La spécialisation fait leur force et leur danger ; les criminels peuvent se concentrer sur un type d’attaque et bénéficier de l’expertise des autres », avertissent les experts de Thales. Et cela peut coûter (très) cher. Jusqu’à 2 millions d’euros de rançon demandés et des gains cumulés allant jusqu’à 15 millions de dollars, selon les auteurs du rapport.
Lire aussi Comment les cybercriminels ont profité du confinement ?
Les tendances à suivre ces prochaines années
À l’horizon 2025, l’humanité aura constitué un patrimoine informationnel de 175 Zo de données (175 avec 21 zéros derrière !). Cette quantité phénoménale s’accompagne d’une augmentation du nombre de menaces. La question est donc : comment protéger un tel patrimoine informationnel au niveau des entreprises ? Chaque jour, Microsoft collecte 8 000 milliards d’événements de sécurité à travers ses différents services cloud. Grâce à ces signaux, il est possible d’entraîner des algorithmes permettant de détecter les nouvelles menaces de manière efficiente.
La transformation numérique en cours sera accélérée et aidée grâce à la cybersécurité. Plusieurs choses sont à surveiller ces prochaines années :
- Le recours à l’intelligence artificielle et au machine learning en cybersécurité pour “réduire le bruit” et se concentrer sur les menaces plus complexes,
- La progression de l’Internet des Objets et de la 5G, synonymes de nouveaux risques,
- L’irruption de l’informatique quantique et la capacité potentielle à casser des algorithmes de chiffrement. Il sera alors nécessaire de recourir à des algorithmes post-quantique.
Dans un monde incertain, investir en cybersécurité reste plus que jamais une priorité.