Cybersécurité : sensibilisés mais pas encore responsabilisés

1

Si les français disent régulièrement être inquiets quant à l’état de sécurité de leurs systèmes d’information, ils ne sont pas encore prêts à passer à l’action. C’est ce que montrent les résultats d’une étude menée par la société de gestion NewAlpha Asset Management.

Un climat d’inquiétude s’est installé dans l’espace numérique chez les professionnels comme chez les particuliers. Un groupe de travail de 9 entreprises menée par NewAlpha révèle que 77,78% des dirigeants considèrent la sécurité informatique comme étant une préoccupation prioritaire pour leur business. MAIS (il y a forcement un « mais » dans cette histoire), alors que les français se montrent de plus en plus sensibilisés à la problématique, les résultats positifs tardent à se montrer. En effet, le nombre de cyber-attaques subi par la France a progressé à hauteur de 51% en 2016 (une entreprise sur deux étant victime d’un ransomware). À votre avis quelle en est la raison ?

La même étude démontre qu’un tiers des personnes interrogées ne savent pas quel pourrait être l’impact d’une faille de sécurité informatique sur leur infrastructure interne. Ou, encore mieux, ils ne voient pas pourquoi il est nécessaire de sécuriser leurs données. C’est le discours classique : « Je n’ai rien à cacher, nous travaillons en toute transparence, etc. ». L’usurpation d’identités en ligne ou les campagnes de phishing ciblées ne sont que quelques contrarguments qui nous viennent en tête.

Les PDG de société ont enfin pris connaissance de l’existence du problème et ils répondent en mode systématique : « Oui, nous avons alloué un budget à la sécurité de nos serveurs » et « Oui, nous avons mis en place une solution de protection informatique ». Tout cela va dans la bonne direction, mais l’étude manque réellement de précisions très importantes. Oui, 100% de participants affirment ne pas être prêts à payer une rançon qui se lève à plus de 10,000 euros, mais combien vous allouer à votre budget dédié à la sécurité ? Nous n’oserons même pas parler de la « solution de protection informatique » mise en place, sans doute incapable de contrer les attaques sophistiquées auxquelles nous sommes confrontés aujourd’hui.

Une affaire pas encore gagnée

Cela étant dit, il semblerait que les démarches de sensibilisation menées par les acteurs du paysage cyber ne soient pas encore au point de susciter des actions conscientes et personnalisés en fonction des besoins.

En effet, le discours répétitif que nous retrouvons souvent dans les médias à propos de la cybersécurité n’a pas réussi à mettre suffisamment l’accent sur un aspect essentiel : les bonnes pratiques en sécurité informatiques sont des consignes qui doivent être adaptées et appropriées à et par chacun, et non pas traitées avec inflexibilité. Ce qui marche pour un business n’est pas forcement la solution optimale pour un autre. Oui, nous devrions tous avoir les mêmes ingrédients de base, mais la recette, la mise en application, peut demander une approche complètement différente.

Il faut aussi aspirer à que les dirigeants d’entreprises ne perçoivent plus les outils de sécurité informatique comme un couteau suisse. « J’ai un antivirus, ce n’est pas suffisant ? » ou même « J’ai un SIEM, pourquoi j’aurais aussi besoin d’un firewall ? ». Toutes ces solutions sont des composants indispensables pour résister au piratage informatique de nos jours. Si ont enlève une partie, l’équipement devient incomplet et les hackers ne manqueront pas de lui trouver une faiblesse.

Que reste-il à faire ?

Allez au delà des termes généralistes. Profiter des changements majeurs qui entrerons en vigueur en mai 2018 pour réévaluer ce que cela veut vraiment dire d’avoir une cybersécurité à la pointe. Nous parlons bien sûr ici des nouvelles règles introduites par l’Union Européenne dans le cadre du Règlement général sur la protection des données (RGPD / GDPR). Ce dernier garantit aux citoyens que leurs données personnelles seront traitées conformément aux normes et qu’en cas d’incident notable, ils seront avertis dans un délai 72 heures.

Pour ceux qui ont notamment lu le texte de loi, vous avez sûrement remarqué une chose : les États Membres de l’Union Européenne ont évité de préciser les moyens précis de mise en œuvre de ces obligations. Ce qui est tout à fait compréhensible alors qu’il s’agit d’une législation qui se veut intemporelle dans son application. Cependant, les passages pourront toujours être traduite en faisant appel aux avancées technologiques du moment (lire notre précédent article sur le SOC Reveelium ici).

Quoi qu’il en soit, il apparaît impératif de se préparer à l’entrée en vigueur de ces règlements. Les obligations qui pèsent sur les entreprises se sont considérablement renforcées, tout comme les sanctions prévues en cas de manquements (accéder au dernier webinar ITrust pour en savoir plus). Il est en conséquence urgent de faire des états des lieux et des audits en ce qui concerne le traitement de données, en plus de compléter sa sécurité avec les pièces manquantes. Il faudra suivre tout cela avec la mise en place de règles et politiques de conduite, ainsi qu’avec de programmes de formation. Le but ? Passer de la sensibilisation au changement d’attitude envers la cybersécurité.

ITrust considère depuis sa création que cette démarche est à la fois une nécessité et un axe de différenciation majeur au bénéfice de ses clients. Permettant l’analyse prédictive, le SOC d’ITrust (démo du 23 mars à Paris) s’appuie sur la solution innovante Reveelium.

Notre outil utilise l’analyse statistique pour repérer les anomalies dans de grands volumes de données et pour tester des hypothèses spécifiques. Reveelium s’appuie sur des méthodes d’apprentissage automatique afin de modéliser les comportements des entités analysées. Ces deux approches permettent à notre moteur d’analyse comportementale de détecter les signaux faibles (c’est à dire, les motifs cachés dans un flux de données). De plus, Reveelium intègre des informations contextuelles provenant de différentes sources (« Threat Intelligence ») pour découvrir les pièces de puzzle qui correspondent à une cyberattaque.

Enfin, Reveelium intègre le feedback de l’utilisateur final dans le but d’améliorer sa prédiction et de diminuer le taux de faux positifs.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Un commentaire

  1. Bonjour,

    Sécucampus permet d’effectuer des campagnes de sensibilisation à la sécurité informatique auprès des utilisateurs. Nous avons testé dans notre entreprise. Il y a un module spam éducatif qui permet de mettre un couche de plus.

Leave A Reply