Le rôle du RSSI (responsable de la sécurité des systèmes d’information) évolue. “Il doit à la fois avoir les compétences professionnelles du chef d’entreprise astucieux, être un expert technique et maîtriser parfaitement PowerPoint“, expose Didier Guyomarc’h, directeur régional Europe du Sud de Zscaler. Des challenges qui viennent s’ajouter à d’autres problématiques moins connues mais auxquelles les RSSI sont confrontés au quotidien, quel que soit le secteur d’activité. Didier Guyomarc’h les liste ici.
Challenge n° 1 : la surcharge d’informations
À l’époque de l’Internet des Objets, du Cloud, de la mobilité et du SaaS, le premier problème est que nous générons beaucoup trop d’informations.
Actuellement, en matière de détection et de réponse aux menaces, nous consignons tout. Pour détecter une menace et y répondre, il faut savoir ce que nous recherchons. Les systèmes autonomes et les solutions ad hoc viennent aggraver la situation.
Évoquant l’utilisation des informations sur les menaces dans le contexte du terrorisme, le spécialiste en sécurité informatique, Bruce Schneier, a écrit que le danger était de devoir chercher la même aiguille dans une plus grosse botte de foin. Il en est de même pour la cybersécurité. Les RSSI ont besoin d’indicateurs de compromission et d’informations sur les menaces fiables pour trouver l’aiguille dans cette botte de foin toujours plus grosse.
Challenge n° 2 : les attaques sont dramatisées et les réglementations obligent à divulguer des informations
Aujourd’hui, il semble que chaque cyberattaque est immédiatement attribuée à une campagne sophistiquée dirigée par un État. Cet argument est un moyen d’apaiser les gens, l’idée étant que la complexité de l’attaque est telle qu’aucune entreprise ne peut se défendre. Nous devons réfléchir aux techniques, procédures et outils mis en œuvre, mais dans un monde de dissimulation et d’anonymisation, pouvons-nous être sûrs de l’identité de notre attaquant ?
Le GDRP (Règlement général sur la protection des données) est un autre aspect à prendre en compte. Les entreprises n’auront que 72 heures pour signaler une violation, elles doivent donc mieux maîtriser leurs flux de données et avoir une vue plus complète des menaces auxquelles elles sont exposées. Une réglementation si stricte, va très certainement obliger les entreprises à mettre en œuvre des plans structurés de réponse aux cyberattaques en vue de reproduire les attaques, de comprendre les responsabilités et de transmettre les informations rapidement et avec précision.
Challenge n° 3 : le ransomware
Le ransomware est devenu une activité rentable pour les criminels. Il existe de nombreux programmes d’affiliation dans le cadre desquels des criminels louent l’infrastructure utilisée pour le ransomware à d’autres criminels et prennent un pourcentage sur les bénéfices. Ce mode opératoire repose sur le modèle de services utilisé dans tous les secteurs d’activité. À partir de là, les obstacles sont plus faciles à surmonter et les criminels sont sans cesse plus nombreux à se tourner vers le ransomware.
La question qui se pose pour les entreprises est la suivante : faut-il payer ou non la rançon ? Le coût pour les entreprises peut être élevé, même si par rapport aux coûts de la perte de données, elles sont prêtes à payer le prix. Les RSSI pourraient se poser en champions de la morale et prétendre que le paiement favorise l’extorsion, mais en fin de compte, les interruptions de service sont coûteuses. Les RSSI commencent à être confrontés au ransomware 2.0, cette évolution logique du ransomware consiste à cibler la multitude de machines ou objets connectés que nous appelons l’Internet des objets.
Challenge n° 4 : l’Internet des Objets
La définition de « l’ordinateur » étant chaque jour plus opaque, il est devenu nécessaire de sécuriser toutes les ressources connectées de l’entreprise. La protection ne doit plus uniquement concerner que les équipements de bureau traditionnels tels que les imprimantes, elle doit également couvrir des appareils tels que le réfrigérateur et la cafetière !
Tous ces équipements sont des points d’accès potentiels permettant aux pirates d’infiltrer le réseau d’une entreprise et c’est aux RSSI qu’il revient de mettre en œuvre un ensemble cohérent de contrôles de sécurité. Cela étant dit, si nous n’apportons pas une garantie quant à la sécurité de tous les appareils qu’il nous incombe de contrôler, sommes-nous négligents si ces appareils commencent à attaquer d’autres machines ? Auparavant, la sécurité visait à protéger la confidentialité, l’intégrité et la disponibilité de nos données, qu’en est-il aujourd’hui ? Le RSSI doit-il désormais se préoccuper de la protection de l’infrastructure Internet critique ? Si tel est le cas, il faut alors totalement repenser notre approche de la cybersécurité.
Challenge n° 5 : et si le RSSI était lui-même à l’origine d’une attaque DDoS !
Tous les employés disposent désormais de smartphones, de tablettes et d’ordinateurs portables connectés au monde extérieur et aux applications SaaS. Une situation qui fait monter en flèche les besoins réseau des entreprises.
Le problème des RSSI est que leur infrastructure réseau pour le Web n’a pas été conçue pour de tels volumes de trafic et ils craignent que sans technologies d’optimisation de la bande passante et de mise en forme des paquets, l’augmentation du trafic empêche d’accéder aux applications métiers légitimes.
Concernant les contrôles de sécurité, ils sont confrontés à une contrainte supplémentaire. Les passerelles de sécurité sont-elles en mesure de faire face à l’augmentation du débit ? Si oui, qu’en est-il face à la croissance exponentielle du trafic chiffré ? Souvent, des compromis sont nécessaires pour assurer le bon fonctionnement de l’entreprise.
Challenge n° 6 : le conseil d’administration veut des indicateurs clairs et précis
Gérer les attentes des membres des conseils d’administration, qui ne sont généralement pas composés de professionnels de la sécurité, est au cœur des défis à résoudre par les RSSI. De plus en plus, ils financent de nouveaux programmes de cybersécurité sans comprendre qu’ils réduisent les risques de violation, mais qu’aucune structure n’est infaillible.
Très souvent, ils ignorent tout des informations concernées. Il n’est pas nécessaire qu’ils aient connaissance des 350 000 alertes portant sur des malwares qui démontrent l’efficacité de l’outil qu’ils ont payé. Ils doivent simplement avoir l’assurance que des règles de sécurité sont en place, étudiées et comprises par toutes les parties prenantes.
Pour convaincre le conseil d’administration de la crédibilité de la stratégie de sécurité, il faut être en mesure d’identifier les indicateurs de compromission, de réduire le délai de détection d’une infection et de garantir une reprise rapide de l’activité à la suite d’une attaque.