Renforcer la cyberdéfense en entreprise
Qu’est-ce que la cyber-résilience?
Renforcer les défenses d’une entreprise constitue une fonction essentielle de la sécurité IT à une époque où les infrastructures sont complexes et hybrides. Mais qu’est-ce au juste que la cyber-résilience et comment les entreprises acquièrent-elles cette capacité?
Texte: Andreas Heer, Photo: Swisscom
15 mai 2023
Auparavant, la sécurité IT avait pour rôle principal de protéger l’infrastructure locale contre les attaques au sein d’un périmètre défini. Mais les évolutions technologiques et sociales telles que le cloud et le télétravail ont fait voler en éclats ces barrières. Les environnements hybrides et les appareils IoT entraînent une complexification et augmentent ainsi la surface d’attaque potentielle pour les cybercriminels, en exploitant par exemple des erreurs de configuration ou des failles de sécurité. D’où un risque croissant, comme le montre également le Cyber Security Threat Radar de Swisscom. En parallèle, le nombre de cyberattaques – notamment celles s’appuyant sur des ransomwares – augmente sans cesse. Mais l’espionnage et le sabotage constituent aussi des préoccupations majeures dans certains secteurs.
Dans ce contexte, la sécurité IT a connu un changement de paradigme. L’état d’esprit du moment est celui du «assume breach», soit le fait d’assumer la survenance probable d’une cyberattaque. Mais une fois que le pirate informatique s’est infiltré dans le système, il faut un plan de défense. Les systèmes critiques pour l’entreprise doivent être dotés de mécanismes de défense pour continuer à fonctionner du mieux possible en cas de réussite d’une cyberattaque. Le terme «cyber-résilience» regroupe les mesures correspondantes issues des domaines de la gestion des risques et de la sécurité IT.
«La cyber-résilience englobe toutes les phases du cadre NIST», explique Duilio Hochstrasser, spécialiste en cybersécurité chez Swisscom. «Mais elle va au-delà des mesures purement techniques en incluant également l’organisation et la culture d’une entreprise». Si vous avez une impression de déjà-vu à la lecture: la cyber-résilience ne décrit pas une approche inédite de la sécurité IT, mais une démarche stratégique ciblée qui englobe les réalités actuelles et les bonnes pratiques. La complexité croissante et le niveau de menace grandissant ont renforcé l’importance de cette approche et abouti à la notion de cyber-résilience.
Comment les entreprises renforcent leur cyber-résilience
Il faut partir des besoins de l’entreprise pour améliorer la cyber-résilience. «Les entreprises doivent identifier en amont les processus et les systèmes devant continuer à fonctionner en cas de cyberattaque, explique Duilio Hochstrasser. À partir de là, on peut ensuite définir les mesures de sécurité.» Cela correspond à la première phase du cadre NIST («Identify»).
La gestion des risques fait également partie intégrante de ces réflexions: Comment faire pour réduire les risques? Quelles sont les mesures techniques et organisationnelles requises dans le Business Continuity Plan (BCP) pour maintenir l’activité? Quelles sont les alternatives en cas de défaillance des infrastructures critiques?
«La sécurité est devenue un argument de vente pour les applications.»
Duilio Hochstrasser
C’est à partir de là que l’on peut ensuite définir les mesures de protection requises. La sécurité occupe une place de plus en plus importante dans la gestion du cycle de vie: La «security by design» décrit des mesures prises très tôt lors du développement ou de l’acquisition de logiciels. «Shift Left» et DevSecOps sont des concepts qui désignent des approches visant à prendre compte les aspects de sécurité dès le début du développement logiciel.
Depuis la faille «log4shell», la chaîne d’approvisionnement est de nouveau en ligne de mire dans le cadre de l’acquisition de logiciels. Réduire le risque d’attaques de celle-ci implique une parfaite transparence sur les bibliothèques utilisées, souligne Duilio Hochstrasser: «Les entreprises exigent toujours plus de transparence de la part des prestataires. La sécurité est devenue un argument de vente.» Le fait de savoir si son logiciel est concerné par une nouvelle faille de sécurité identifiée dans une bibliothèque simplifie considérablement la prise de décision quant aux mesures de protection.
La sensibilisation à la sécurité renforce la cyber-résilience
Alors que les mesures techniques permettent avant tout de réduire la surface d’attaque et de réagir aux incidents de manière rapide et ciblée grâce à la transparence, le personnel a la capacité de déjouer les cyberattaques, notamment celles lancées par le biais d’e-mails d’hameçonnage. Les collaborateurs sensibilisés tombent moins souvent dans le piège. «La communication ainsi qu’une sensibilisation régulière et ciblée sont essentielles pour accroître la résilience», souligne Duilio Hochstrasser.
Mais une simple formation sur l’hameçonnage ne suffit pas. Le personnel doit aussi savoir à qui signaler les incidents de sécurité. Cela requiert une communication appropriée et une culture d’entreprise qui aborde ouvertement le sujet de la sécurité. Il s’agit non seulement d’identifier les e-mails d’hameçonnage, mais aussi de bien utiliser les données.
Il faut apprendre à gérer correctement les informations sensibles stockées dans le cloud, comme sur SharePoint. Par exemple, la classification des documents peut servir à crypter automatiquement les informations confidentielles et à en limiter l’accès. Cela empêche les cybercriminels de récupérer des données confidentielles, mais encore faut-il que les collaborateurs gèrent correctement les informations.
Des mesures de protection techniques, une gestion des risques adaptée aux besoins de l’entreprise et des collaborateurs vigilants sont les ingrédients d’une cyber-résilience efficace. Encore une fois, il n’y a rien de nouveau là-dedans: ce n’est qu’une évolution logique et stratégique de la cybersécurité pour accroître le niveau de maturité de la cyberdéfense.