Cyberdéfense : quelle stratégie pour les entreprises ?

Cyberdéfense : de quoi parle-t-on exactement ?

Si l’on s’en tient à la définition purement académique du terme, la cyberdéfense désigne « un ensemble de mesures techniques, et non techniques, permettant à un État de défendre dans le cyberspace les systèmes d’information jugés essentiels contre les attaques informatiques ».

Par extension, ce terme s’applique également à l’entreprise, et pourrait être traduit par une stratégie de défense ciblée du système d’information permettant de protéger les ressources sensibles de l’entreprise contre une attaque informatique.

Cette stratégie met en œuvre des moyens techniques, organisationnels et humains. On parle alors de « Cybersécurité ».

La différence avec la sécurité dite « traditionnelle » (i.e. correspondant à la mise en œuvre d’une défense à spectre large), réside dans la proposition d’une approche stratégique de défense ciblée visant les actifs essentiels au fonctionnement de l’entreprise.

Dans quel contexte évolue la cyberdéfense ?

Afin de bien appréhender l’enjeu que représente la cyberdéfense, il est essentiel de bien cerner le contexte dans lequel elle évolue.

• Les attaquants

Les dernières études relatives au domaine de la Cyber (Défense ou Sécurité) montrent la professionnalisation des cybercriminels. L’époque des petits pirates informatiques, de jeunes passionnés « testant » des approches novatrices d’attaque est terminée.

Aujourd’hui, les cybercriminels bénéficient d’une panoplie d’outils prêts à l’emploi, simples d’utilisation et peu coûteux, mais surtout extrêmement puissants (botnets). Étant très bien organisés, ils sont en mesure de mener des attaques informatiques à l’échelle mondiale.

Au-delà de la motivation propre, voire parfois de simple plaisir ou de besoin de reconnaissance, on dénote surtout chez le cybercriminel un gain pour l’argent, point renforcé par l’émergence d’un réel business du cybercrime : marché du malware, location de botnets, générateur d’attaques DDoS, ou encore, marché noir de la donnée volée… ou la tendance actuelle : le rançonnage !

• Les attaques

Les caractéristiques des attaques informatiques sont adaptées aux cibles : plus celles-ci sont valorisables, plus les moyens déployés sont importants pour les atteindre. Ainsi, ce sont de réelles attaques « sur mesure » qui sont aujourd’hui forgées spécifiquement au contexte de la cible.

Par analogie au contexte militaire, les attaques sont furtives et persistantes, elles sont le propre d’une stratégie d’attaque avancée : une occupation durable du terrain, invisible des radars.

Ces attaques sont, puisque spécifiques, de plus en plus complexes et sophistiquées étant réellement capables de mener, dans certains cas, une analyse comportementale du périmètre défensif. Face à la constante évolution de ces attaques par une veille permanente des cybercriminels, on parle aujourd’hui de « cyberguerre ».

L’évolution du contexte des entreprises, leurs nouveaux usages, notamment à travers la pression des utilisateurs et la transformation digitale, sont d’excellentes opportunités pour les pirates, provoquant l’augmentation de la surface d’exposition de celles-ci : Cloud Public et SaaS non maîtrises, multiplication des terminaux, BYOD et bien sûr, les objets connectés / IOT / M2M. Un périmètre à surveiller de plus en plus vaste, et de plus en plus difficile à maîtriser pour les DSI.

Cyberdéfense : la menace informatique impacte le business

Les cyberattaques étant menées par de réels professionnels du cybercrime, la visée des attaques n’est plus seulement informatique, la réelle cible étant l’activité de celle-ci (business, production, image de marque de l’entreprise, etc.).

Les impacts sont donc multiples, notamment :

• La Réputation (= défacing site web / déni de service)
• Le Savoir (malware furtifs / interception et exfiltration de données)
• L’Intégrité des processus industriels (compromission des accès, infection des systèmes industriels, arrêt de la production, etc.)

L’activité des cibles étant aujourd’hui de plus liée à la bonne santé du SI, on comprend alors aisément le lien entre la menace informatique et l’impact final sur l’activité de l’entreprise.

L’enjeu des SI est donc d’assurer la préservation du patrimoine de l’entreprise, tout en répondant aux enjeux métiers, sans oublier de garantir la conformité aux obligations légales (exemple : RGPD).

Cyberdéfense : prévenir, détecter et réagir est vital pour l’entreprise

Face aux évolutions des SI et des usages, et à celle des risques encourus, le risque zéro n’existe pas. Néanmoins, il est possible d’anticiper les impacts, base d’une réelle stratégie de cybersécurité, grâce à une approche pragmatique basée sur une connaissance accrue des menaces et des risques encourus (présents au sein des analyses de risques).

Il faut ensuite se préparer à subir l’attaque (parce qu’elle arrivera forcément !), en mettant en place des mécanismes de surveillance, de détection et de réaction dans le but de la contrer.

Contrer, et non pas empêcher, car la sophistication des menaces modernes empêche l’assurance d’une protection infaillible. L’objectif est donc de gagner du temps lors de la réaction à l’incident de sécurité pour limiter l’ampleur de celui-ci, et être capable de faire face efficacement à l’impact redouté.

La cybersécurité est ainsi une stratégie de défense ciblée des biens sensibles de l’entreprise. Elle va se reposer sur une organisation éprouvée, mise en place au préalable en amont de l’attaque, basée sur des scénarios identifiés au sein d’une analyse de risques préalablement réalisée sur le périmètre sensible.

Cette organisation repose sur une méthodologie, une expertise et un outillage continuellement revus et améliorés. Les experts peuvent être internes ou externes à l’entreprise, mais ils doivent, dans tous les cas, impérativement connaître le périmètre sensible protégé et les enjeux associés, son fonctionnement, ainsi que l’architecture technique associée pour être à même d’appliquer les meilleures actions en amont, pendant, et en aval de l’attaque.