Gérer les risques aujourd'hui et demain

Alain Bouillé (Cesin) : « Malgré toutes les précautions qui seront prises, il va falloir s’habituer à vivre avec le risque »

16-01-2018

Interview du président du Club des experts de la sécurité de l'information et du numérique. Fort de son troisième « Baromètre annuel de la cybersécurité des entreprises », réalisé avec OpinionWay, il dresse un bilan de l’année 2017 et esquisse les perspectives d’évolution pour 2018.

Allain Bouillé, président du Cesin.
© Caisse des dépôts
Quelle a été l’évolution des cyberattaques en 2018 ?  

Pour la troisième année consécutive, nous avons réalisé avec OpinionWay notre « Baromètre annuel de la sécurité des entreprises » en ciblant 343 membres de l’association - dont des ministères, des sociétés du CAC40 et SBF120 – parmi lesquels nous avons compté 142 répondants. À la différence des études produites par des fournisseurs de solutions de cybersécurité, nos chiffres proviennent exclusivement des directeurs de la sécurité qui n’ont rien à vendre. Ce qui ressort, c’est donc ce qu’ils ont vécu. À cet égard, 92 % des répondants affirment avoir été attaqués une ou plusieurs fois. 48 % des entreprises constatent une augmentation du nombre d’attaques. Pour le quart d’entre elles, des impacts sur l’activité économique ont été ressentis : arrêt de la production, indisponibilité significative du site internet, perte de chiffre d’affaires… 

Quelle a été la principale menace ?


Incontestablement, le Ransomware (rançongiciel) : 73 % de nos membres ont fait face à une ou plusieurs demandes de rançon. 38 % ont subi une fraude externe et 30 % un vol d’information. 25 % ont été touchés par des attaques en déni de service et 16 % par une défiguration de site web. Ce type d’attaque a donc considérablement augmenté avec, bien sûr, les épisodes Wannacry et, surtout, NoPetya qui s’apparentait plus à un virus de destruction qu’à un Ransomware. Mais le constat brut, c’est que très peu d’entreprises du Cesin ont été directement touchées. En revanche, beaucoup d’entre elles ont passé du temps à mettre en place des mesures de prévention et protection. Les plus touchées ont été Renault (Wannacry), Merck (NoPetya) et Saint-Gobain (NoPetya) qui ont subi les premières vagues d’attaques dont l’origine provient des pays de l’est où elles ont des activités. De fait, les membres du Cesin ont mis en place des cellules de crise pour déployer des patchs. Résultat, les attaques n’ont pas été trop virulentes. Avant ces attaques, il faut savoir que les directeurs de la production craignaient d’implémenter ces patchs de peur de bloquer leurs systèmes de production. En 2017, les faits se sont inversés : la probabilité de se faire attaquer car on n’a pas patché est désormais supérieure à celle de voir la production bloquée parce que l’on déploie les patchs. D’autres phénomènes remarquables ? La progression de la cyberassurance nous a véritablement interpellés. En 2017, 40 % ont déjà souscrit un contrat, soit une augmentation de 14 % par rapport à 2016, 15 % sont en cours et 22 % l’envisagent.

Quelle explication donnez-vous à cette progression ?
 

Les cyberattaques font de plus en plus de dégâts dans les entreprises. On en arrive au même constat avec la cyberassurance qu’avec l’assurance incendie. En effet, les cyberattaques ont même parfois mis un coup d’arrêt à l’activité de certaines entreprises. De son côté, Saint-Gobain a accusé un manque à gagner de 250 millions d’euros à la suite de ces cyberattaques. Dans ces conditions, une cyberassurance devient de plus en plus nécessaire. Encore faut-il se protéger efficacement et en faire la démonstration auprès de l’assureur… En effet, l’assureur ne couvre pas contre l’incendie l’entreprise qui ne pose pas d’extincteurs, de sprinklers… C’est la même chose pour la cyberassurance. Cela signifie aussi que même les entreprises les plus modestes vont devoir monter en gamme en matière de prévention et de protection. En complément de l’assurance en responsabilité civile qui disposait de clauses en matière numérique mal définies en matière de cybersécurité, les assureurs proposent désormais des contrats optionnels spécifiques. Ces derniers réclament a minima de remplir un questionnaire plus ou moins élaboré avec des exigences plus ou moins fortes en fonction de la taille de l’entreprise. Même à la TPE, on demandera : « Faites-vous des sauvegardes régulières et les externalisez-vous ? » C’est assez nouveau. En clair, ce sont surtout les conséquences de la cybercriminalité qui poussent les entreprises à prendre conscience de l’intérêt d’une cyberassurance. L’autre raison qui plaide en faveur de la cyberassurance, c’est le règlement général sur la protection des données personnelles (RGPD) [qui entrera en vigueur le 25 mai dans toute l’Europe, NDLR]. Celui-ci oblige les entreprises à être transparentes sur les incidents de sécurité relatifs aux données à caractère personnel. L’assurance ne remboursera pas l’amende éventuelle mais tout ou partie des dégâts collatéraux.

Les solutions de cybersécurité sont-elles efficaces ?

Selon notre baromètre, les entreprises implantent en moyenne une douzaine de solutions techniques. Globalement, les solutions de protection disponibles sur le marché sont jugées de plus en plus efficaces et cela tend encore à augmenter. Cependant, elles restent perfectibles et ne sont pas totalement adaptées dans 22 % des cas aux besoins de l’entreprise. Dans 34 % des cas à la fréquence actuelle des attaques. Les progrès sont pourtant indéniables. La R&D est bien sûr présente chez les grands fournisseurs. Mais il y a aussi énormément de solutions provenant de start-up innovantes qui complètent la panoplie des solutions classiques.

L’Intelligence artificielle (IA) représente-t-elle une avancée significative en matière de protection ?


Le Machine Learning est une bonne piste, notamment dans les Security Operation Center (SOC), notamment pour détecter des comportements anormaux et des signaux faibles mais il ne fait pas tout ni tout de suite. Ne nous emballons pas ! Avec la divulgation des failles de sécurité dans les puces d’Intel, nous entrons dans une nouvelle ère d’incertitude où il va falloir préparer les Comités exécutifs à vivre avec le risque, sachant que l’on ne va pas tout de suite installer de nouvelles puces sur tous les ordinateurs et tous les serveurs. 

Quels sont les grands rendez-vous de votre association pour 2018 ?
 

Le RGPD va être inscrit à l’agenda de la plupart des RSSI. Avec un bémol : tout ce que l’on fait pour être conforme à la protection des données à caractère personnel va dans le sens de la bonne cause. Mais il ne fait pas oublier le reste. On peut aussi oublier les données qui ne sont pas à caractère personnel mais qui sont tout aussi importantes pour l’entreprise. En matière de cybersécurité, il faut trouver une cohérence d’efficacité globale. Au final, les entreprises vont-elles être à la fois plus solides et plus agiles ? En fait, la sécurité agile existe déjà. Les nouvelles initiatives métiers vont devoir intégrer la démarche de sécurité dès la conception (Security by Design), à savoir des offres avec une sécurité « sans couture ». Un produit lancé sur le marché sans être sécurisé dès la conception est percé dans les 48 h. La sécurité n’est plus une option.

Propos recueillis par Erick Haehnsen

Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.

Vos réactions (0)

Soyez le premier à réagir / Signaler un abus

Réagissez

Votre adresse email ne sera pas publiée
Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.