Ressources

News

Série  – Lutter contre le cyber-illettrisme (2)

Article 2/3 : Le B.A. BA de la stratégie cyber – appliquer le Risk Management. 

La cybersécurité rebute souvent : elle donne l’impression que l’informatique est dangereuse, qu’on ne peut rien faire contre les virus, que tout est caché, très compliqué et très cher. Pourtant, cette réputation vient surtout de l’ignorance du sujet par la majorité. Prenons l’exemple de la voiture : parmi les milliards de personnes qui en conduisent une, combien en connaissent le fonctionnement ? Combien se tuent au volant ? Combien doivent investir des sommes folles pour le maintien en état ? Et pourtant, combien de personnes autour de vous refusent d’en posséder une parce que ce serait « dangereux », « compliqué », « cher » ?

La cybersécurité, et l’informatique en général, souffre de sa nouveauté plus que d’une réelle complexité. Cet article va lever un pan du voile de la sécurité informatique en suivant les étapes d’une analyse de risques cyber simplifiée, sur la base de méthodes utilisées par les cabinets professionnels.

Les entreprises comme Coralium, qui analysent le niveau de risque des entreprises et proposent des mesures de protection adaptées en fonction des résultats, utilisent des normes et des grilles d’audit très complètes reposant sur des notions bien définies. Ces cadres sont retravaillés constamment par toute la communauté de la cybersécurité mondiale pour être au plus proche de la menace.

En appliquant ces méthodes de manière simplifiée, vous pourrez jeter les bases de votre stratégie cyber et ainsi vous concentrer sur les risques les plus importants, en limitant vos dépenses à ce qui permettra d’augmenter au mieux votre niveau de sécurité.

Cet article est la suite de l’article 1/3. Si vous ne comprenez pas le vocabulaire utilisé, il est possible que les notions aient été expliquées dedans.

Qu’est-ce qu’il faut protéger ?

Le premier travail à réaliser est celui d’analyser ses besoins métiers, pour identifier les menaces spécifiques qui les cernent et les protéger au mieux. Pour cela, vous pouvez vous référer à cet article « Article : Pourquoi surveiller les besoins métiers ? ». En effet, il vaut mieux une sécurité plus faible mais bien appliquée qu’un système trop bloquant, qui va pousser ses utilisateurs à contourner les contrôles de toutes les manières possibles.

On commence donc par déterminer ce qu’il faut protéger : les processus métiers et les données sous-jacentes qui permettent à l’entreprise de réaliser sa mission. Cela peut être une base de données clients, le marketing, le service support, une application développée par l’entreprise, un processus de fabrication… Ces processus et données, que l’on peut appeler valeurs métiers, sont au cœur de l’activité de l’entreprise ; leur perturbation en cas de cyber-attaque aura un impact important sur la capacité de l’entreprise à poursuivre sa mission. En établissant cette liste de valeurs métiers, on y voit déjà plus clair sur ce qu’il faut protéger.

Il faut ensuite aller dans le détail. Ces valeurs métiers reposent sur des biens supports : locaux, matériels, machines, personnes, réseaux qui sous-tendent et permettent l’activité. Il est essentiel de bien établir la liste de ces biens supports : dans les faits, ce sont ces derniers qui seront la cible des attaques et c’est sur ces derniers que porteront les mesures de sécurité !

Après avoir déterminée la liste des valeurs métiers et des biens supports associés, il faut évaluer ces valeurs métiers et leurs besoins en sécurité. A quel point ces activités phares de mon entreprise sont-elles fragiles ?

Une des méthodes d’analyse des besoins en sécurité est le DICT. Il rassemble quatre contrôles de sécurité, utilisés notamment dans la méthode d’analyse de risques Ebios RM : Disponibilité, Intégrité, Confidentialité et Traçabilité.

Évaluer les besoins en DICT de chaque processus métier permet de mieux comprendre leur criticité et comment les protéger.

Ces éléments sont en général évalués sur une échelle, à définir en amont. Par exemple, pour le besoin en confidentialité, sur une échelle de 1 à 4, le niveau 1 peut correspondre à une donnée publique, et le niveau 4 à une donnée qui ne doit être connue que d’un petit nombre de personnes au sein de la société ; le niveau 2 étant une donnée qui peut être connue par l’entreprise, ses partenaires et ses clients et le niveau 3, une donnée qui ne doit être connue que de l’entreprise elle-même.

Chaque valeur métier doit donc être associée à un niveau de Confidentialité, Disponibilité, Traçabilité et Intégrité. Par exemple, dans le cas d’un restaurant, l’activité de marketing peut avoir un besoin en confidentialité de 1 puisque les campagnes sont publiques, en disponibilité de 2 puisque l’activité peut être arrêtée sans grand dommage pour le restaurant, de traçabilité de 1 puisque savoir qui a lancé quelle campagne n’est pas très important, et d’intégrité de 3 puisqu’il faut au minimum contrôler les messages qui sont publiés sur les réseaux sociaux.

De quoi faut-il se protéger ?

Cette étape nous permet de passer ensuite à d’évaluation des impacts. Pour ce faire, on va imaginer les risques qui pèsent sur l’entreprise et leurs impacts, en se posant la question de ce qui pourrait mettre en défaut ces besoins en sécurité, et ce que cela couterait à l’entreprise. 

Attention toutefois : un besoin en sécurité élevé ne signifie pas nécessairement un impact fort, et vice versa. Par exemple, le besoin d’intégrité des informations RH est très fort : il ne faut pas qu’elles soient fausses ; néanmoins, dans le cas où ces informations sont modifiées, entrainant par exemple une mauvaise évaluation annuelle d’un employé, les conséquences négatives pourront être corrigées aisément et ne mettront probablement pas l’entreprise en péril. Ainsi donc, un besoin en sécurité maximal (niveau 4) non respecté ne signifie pas un impact maximal. A l’inverse, si le logiciel RH pour le paiement des salaires a un besoin en disponibilité faible (il n’est pas nécessaire qu’il soit disponible en permanence), en cas d’indisponibilité au mauvais moment, les conséquences pour les employés peuvent être importantes.

Voyons maintenant quelques exemples de scénarios impactant les besoins en sécurité : un attaquant qui parvient à pénétrer dans le système d’information et à accéder aux données d’une entreprise pourrait alors les rendre illisibles et réclamer une rançon contre la clef de déchiffrement (non-respect du besoin en disponibilité), les modifier pour y écrire des messages malveillants (non-respect du besoin en intégrité) dans le cas de messages marketing, ou alors les copier et les vendre au plus offrant (non-respect du besoin en confidentialité).

Ces différents scénarios sont appelés des évènements redoutés : des évènements néfastes qui, du fait de leur atteinte aux besoins redoutés, ont des conséquences (impacts) négatives sur l’entreprise. Ces impacts peuvent être de plusieurs ordres et dépendent de l’activité de l’entreprise : on peut avoir des impacts financiers, juridiques, de réputation, d’exploitation, mais on peut aussi avoir des impacts environnementaux (dans le cas d’une usine de traitement des déchets par exemple) ou de santé publique (dans le cas d’un laboratoire pharmaceutique).

On peut ici aussi se baser sur des échelles d’évaluation des impacts : servir un aliment avarié dans un restaurant aura probablement un impact fort en termes de réputation, potentiellement fort en terme juridique si cela a des conséquences médicales, mais faible en termes d’exploitation.

Évaluer ces impacts permettra donc de classer les évènements redoutés en fonction de leur criticité et donc à terme, de décider de l’importance des mesures de remédiation à mettre en place. Autant privilégier de sécuriser les valeurs métiers dont le non-respect des besoins en sécurité se traduit par des impacts forts ou critiques !

Qui peut vous attaquer ?

Savoir d’où provient l’attaque peut aussi aider à évaluer les chances que l’entreprise a d’être attaquée, ainsi que les modus operandi attendus. Toutes les entreprises ne sont pas les cibles des mêmes attaquants ni des mêmes types d’attaques.

En général, on en compte 9, classés ici par importance de moyens :

  • Étatique : avec des moyens financiers très importants, beaucoup de ressources humaines, techniques et technologiques, il vise plutôt la déstabilisation d’une puissance rivale ou la collecte de données d’espionnage. Ici, les États ou les OIV (Opérateurs d’Importance Vitale, les entreprises rendant un service essentiel à la nation dans les domaines militaires, judiciaires, pourvoyant à des besoins primaires comme l’eau/l’énergie/l’alimentation ou concernant des données critiques comme la recherche, l’espace, les communications, les finances, la santé, les transports).
  • Terroriste : les moyens financiers peuvent être très importants lorsqu’ils sont liés à un État, mais la volonté est la déstabilisation ou la destruction d’une entité de manière visible : il faut faire passer un message, par exemple en l’affichant sur la page d’accueil d’un site gouvernemental.
  • Crime organisé : ceux auxquels on pense le plus souvent, la mafia cyber, qui rançonne à tour de bras les entreprises ou les particuliers avec de gros moyens ; leur motivation est essentiellement l’argent.
  • Le concurrent : avec des moyens plus ou moins importants en fonction de sa position, une attaque de sa part vise à récupérer des informations et/ou déstabiliser financièrement une autre entreprise du secteur. Ce scénario très hollywoodien est malheureusement courant pour les PME.
  • Le vengeur : un interne ou ex-interne qui veut se venger d’une entreprise en particulier. Cette personne n’a souvent pas beaucoup de moyens mais compense par une bonne connaissance des systèmes internes. Elle peut faire très mal car elle sait mieux que les autres attaquants, où, quand et comment frapper la société. Toutes les sociétés peuvent être concernées.
  • L’idéaliste : à rapprocher du terroriste mais à moindre échelle, son but est de déstabiliser ou de faire passer un message, souvent publiquement (médiatisation de données secrètes récupérées suite à un vol d’appareil par exemple). Ses moyens financiers sont faibles mais il peut utiliser son influence pour corrompre des sources internes. Les entreprises travaillant dans un secteur soit très public, soit très controversé, en sont les cibles.
  • L’amateur : la cybersécurité est un domaine qui se banalise ; de plus en plus de scripts faciles d’utilisation circulent, des kits d’attaque peuvent être achetés en ligne, vendus par des organisations criminelles ou simplement des personnes techniques qui ne veulent pas attaquer directement. Une personne peut vouloir les essayer pour le défi, la reconnaissance sociale, gagner un peu d’argent avec une rançon… et souvent, sur les petites entreprises avec peu de moyens de défense, comme les TPME.
  • L’attaque opportuniste : c’est un vrai coup de malchance. Pléthore de malwares, campagnes de phishing, virus, sont mis en circulation et visent tout et n’importe quoi/qui. Un mauvais clic d’une personne au hasard peut vous amener à perdre toutes les données de vos sauvegardes…

Comment se protéger ?

À partir des informations récoltées lors d’entretiens avec les spécialistes de l’IT de l’entreprise, la direction et les responsables métiers, un calcul est réalisé pour déterminer la priorité à accorder à chaque remédiation en fonction de la source (l’attaquant, plus ou moins motivé, avec des ressources variées), la cible (critique ou non pour l’entreprise) et la pertinence des scénarios liés.

Muni de cet état des lieux des besoins en sécurité de l’entreprise, le cabinet de conseil en cybersécurité peut alors passer en revue les mesures de sécurité existantes, prévues ou refusées, et imaginer un plan de sécurisation sur mesure.

Pour l’IT, les mesures classiques de protection sont les suivantes :

  1. Surveiller et détecter les intrusions : installer des antivirus et des antimalwares (des logiciels conçus pour détecter, prévenir et supprimer les logiciels malveillants), installer un pare-feu (firewall) qui offre une couche de protection supplémentaire. Il bloque beaucoup d’attaques et de malwares en contrôlant le trafic réseau entrant et sortant et en autorisant ou en bloquant certains types de communication.
  2. Vérifier les mécanismes d’authentification et d’autorisation : ces mesures permettent de vérifier l’identité des utilisateurs et de contrôler leur accès aux systèmes et aux données. La mise en place de l’authentification à deux facteurs est fortement recommandée pour les zones sensibles (administration, facturation, données de propriété intellectuelle…). Article sur la politique de mot de passe à venir
  3. Chiffrer et sauvegarder les données sensibles : en cas d’attaque, elles sont illisibles pour les personnes non autorisées et vous pouvez les récupérer même si elles ont été gribouillées par l’attaquant.
  4. Vérifier la gestion des vulnérabilités : rechercher et corriger les failles de sécurité dans les systèmes, les logiciels et les réseaux. Article sur les scans de vulnérabilité à venir
  5. Pour tout le monde :
  6. Faire usage d’une politique de mot de passe efficace : les mots de passe doivent être de 12 caractères ou plus, ne doivent pas être réutilisés même en changeant 1 ou 2 caractères, et contenir au moins 3 parmi : 1 majuscule, 1 minuscule, 1 caractère spécial, 1 chiffre. Ils doivent également être stockés de manière sécurisée, par exemple dans un coffre-fort de mot de passe.
  7. Maintenir tous les logiciels à jour : tous les logiciels sont faillibles, mais les propriétaires ou la communauté responsable mettent régulièrement à disposition des mises à jour de sécurité pour sécuriser les nouvelles failles. Dans la même veine, il faut télécharger uniquement depuis le site propriétaire de ce logiciel, ce qui garantit une version intègre.
  8. N’utiliser les comptes à privilèges, comme les comptes d’administration, que pour les actions d’administration. Les actions quotidiennes doivent être réalisées sur un compte classique.
  9. Vérifier la sensibilisation à la sécurité : il est important de former les utilisateurs et de les sensibiliser aux bonnes pratiques en matière de sécurité, telles que la création de mots de passe forts, la protection des informations confidentielles et la prudence lors de l’ouverture de pièces jointes ou de liens suspects.

Si vous avez déjà vécu un audit, en cybersécurité ou dans une tout autre sphère, il vous a sans doute sauté aux yeux que la méthode d’audit présentée ici est très semblable à celles de beaucoup d’autres domaines. 

La cybersécurité semble nouvelle et compliquée : oui, elle a ses spécificités évidemment mais c’est un domaine comme les autres, avec un fonctionnement général finalement assez commun parmi les métiers de support. Nul besoin d’être expert en la matière : il faut simplement connaître les bonnes pratiques à mettre en place, se protéger des risques encourus, pour l’utiliser comme un outil qui peut apporter du confort et économiser du temps et de l’argent. Et si malgré tout vous n’avez pas le temps ou les ressources en interne pour mettre en place ces méthodologies ou outils, vous pouvez toujours vous faire accompagner !

Article rédigé par : Charlotte Lemaistre, consultante chez Coralium

Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Nos formations et sensibilisation à la cybersécurité