Les DSI et RSSI savent qu’il y aura un avant et un après Covid-19 dans la cybersécurité. Certes, ils sont enfin écoutés des dirigeants et leurs budgets sont préservés, voire augmentés, car ils ont tiré les enseignements des nombreuses cyberattaques. Mais cela suffira-t-il à contrer les menaces en 2021 ? Solutions Numériques a pris la température aux Assises de la Sécurité auprès des experts présents.
Les experts notent que le secteur de la cybersécurité a accompli des progrès remarquables lors du confinement, en termes d’évangélisation tout d’abord. Alain Bouillé, délégué général du Club des Experts de la Sécurité de l’Information et du Numérique (Cesin), a bien résumé ces progrès lors des Assises de la Sécurité 2020 :
« La crise sanitaire nous a fait gagner des années en matière d’évangélisation sur la cyber-sécurité auprès des politiques et des Comex. La Covid-19 a aussi été l’un des meilleurs accélérateurs de la transition numérique pour les entreprises ».
Les RSSI enfin écoutés par la DG et le Comex
Un avis que partagent de nombreux RSSI ou spécialistes de la cybersécurité rencontrés aux Assises de la Sécurité, dont Christophe Auberger, évangéliste en cybersécurité de Fortinet : « Les RSSI sont enfin entendus par les directions générales et le Comex des entreprises, ce qui n’était pas forcément le cas il y quelques années ». Attention toutefois à éviter les discours trop anxiogènes ou complexes précise Philippe Loudenot, RSSI des ministères sociaux et administrateur du Cesin :
« Je confirme n’avoir jamais été autant reçu et écouté sur la période par mes trois ministères de tutelle. La qualité d’écoute s’est même améliorée quand j’ai abandonné avec eux l’utilisation de termes anxiogènes comme la “cybersécurité”, au profit d’un discours plus “positif” parlant par exemple de protection de l’information et des données ». Une belle unanimité sur ce constat plutôt flatteur pour ces professionnels reconnus de la cybersécurité.
Guillaume Poupard, le directeur général de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), a d’ailleurs positivé sur le sujet lors des Assises de la Sécurité : « Nous arrivons à la fin d’une phase d’évangélisation sur la cybersécurité face à des gens qui ne voulaient pas entendre parler de mauvaises nouvelles. Cette nouvelle étape va nous permettre de nous concentrer sur les solutions davantage que sur l’évangélisation ». Mais cette écoute des politiques et des Comex va-t-elle durer en 2021 et au-delà ?
La professionnalisation des attaquants générera plus de cyberattaques
Il semblerait que oui. En effet, les experts estiment que les cyberattaques durant le confinement sont loin d’être terminées. La surface d’exposition du SI des entreprises ayant beaucoup augmenté avec le télétravail, les cybercriminels, débutants comme confirmés, trouvent encore de multiples angles d’attaque exploitables.
« Les cybercriminels ont largement exploité le contexte Covid, le développement du télétravail et la crédulité des gens », explique Alain Bouillé du Cesin. Le constat est unanime : les cyberattaques s’intensifieront en 2021 car les cybercriminels ont tiré les enseignements des stratégies de défense mises en place durant le confinement.
La cybercriminalité s’est professionnalisée pendant le confinement et elle s’est dotée d’outils et de budgets plus conséquents. « Les attaques étaient aussi plus sophistiquées que d’habitude. En effet, les criminels “physiques” se sont recyclés dans la cybercriminalité car elle est plus rentable et moins dangereuse. Et même si l’on n’est pas un cyber-spécialiste, il est simple de créer des malwares ou des ransomwares quand on sait où acheter les codes et les compétences » analyse Christophe Auberger de chez Fortinet France.
Une augmentation du budget sur les questions de cybersécurité ?
C’est probable, mais pas certain car les budgets des RSSI et des DSI en matière de cyber-sécurité ont déjà souvent nettement augmenté aux deuxième et troisième trimestres, au plus fort du confinement sanitaire lié au Covid-19. Comme le confirme Olivier Ligneul, Ciso d’EDF,
« Le Comex du groupe EDF a certes augmenté nos budgets IT, mais la politique de réduction des coûts a limité mécaniquement notre budget cyber, en dépit de la recrudescence des attaques ». Son confrère Eric Doyen, DSI et directeur de la Sécurité Opérationnelle de l’assureur Malakoff Humanis constate également que « La Covid-19 a eu très peu d’impact sur la réduction des budgets IT, et notamment sur ceux dédiés à la cybersécurité. Au contraire, la crise sanitaire a créé des opportunités pour la DSI sur les projets IT à la charnière de 2020-2021 ».
Cartographier le SI jusqu’au domicile…
Si le désir de cartographier les moyens en cybersécurité des entreprises n’est pas nouveau, la crise sanitaire lui a donné une dimension critique suite à la multiplication des cyberattaques. « En effet, le télétravail a augmenté la surface d’attaque virtuelle des entreprises. Il a fait exploser les failles de sécurité tout en révélant les défauts non visibles de la cuirasse. Les entreprises doivent donc dresser sans tarder un état des lieux de leurs systèmes de défense », estime Dagobert Levy, VP France et Europe du sud de Tanium.
Ce type de “Mapping” est toutefois un phénomène relativement nouveau dans la cybersécurité. En France, il prend de l’ampleur depuis quelques années grâce notamment à la publication de lois, comme celle sur la programmation militaire, et aux efforts de l’ANSSI pour aider les entreprises à cartographier les cyber-risques. « Pendant le confinement des collaborateurs, Safran a amélioré son capacity planning et nous avons déjà fait des progrès pour mieux appréhender nos ressources physiques, ne serait-ce que pour obtenir des métriques plus fines afin de mieux monitorer le SI au-delà du périmètre de base de l’entreprise » reconnaît pour sa part Xavier Cessac, RSSI de Safran.
Tous nos interlocuteurs estiment que les RSSI et les DSI doivent mieux associer les utilisateurs à cette cyber-cartographie, et de manière dynamique. Les métiers peuvent les aider à défendre leurs installations car ils sont détenteurs d’informations que ne possèdent pas les RSSI. Tanguy Jouvet, le directeur régional Sud-Est du cabinet de conseil Metsys, invite urgemment les DSI « à intégrer le Cloud hybride dans vos politiques de sécurité et dans votre cartographie des risques. La moitié ne l’ont pas encore fait ! La gestion des identités (IAM) est également obligatoire pour le Cloud ».
Réaliser des économies
La cyber-cartographie devient aussi une nécessité sur le plan économique. Après avoir dépensé beaucoup plus d’argent en 2020 pour renforcer leurs cyberdéfenses sur site et dans le Cloud pour accompagner le télétravail massif, nombre de directions générales rationalisent actuellement leurs cyber-dépenses. D’autant qu’elles sont nombreuses, dans les PME notamment, à constater une augmentation du prix des solutions de cyberdéfense. Les clients déplorent aussi leur empilement en strates non communicantes et parfois conflictuelles.
« La gouvernance de la cyber-sécurité a été gérée de manière trop technocratique par le passé. Quand un problème survenait, la plupart des DSI déployaient alors une technologie. Résultat, ses utilisateurs se retrouvent aujourd’hui avec trop de fournisseurs et de solutions à gérer et pas assez de compétences en interne ou en externe pour le faire », explique Pierre Calais, directeur des opérations de l’éditeur Egerie.
Un avis partagé par Stéphane de Saint-Albin, directeur général pour la France de Rhode & Schwartz. Il constate que si ses clients « sont prêts à revoir à la hausse leurs dépenses en cybersécurité, pour améliorer les VPN par exemple, ils souhaitent repenser les risques en les cartographiant mieux, afin d’identifier les faiblesses potentielles dans leur SI, puis les mesurer, afin de créer de vrais plans de traitement pour les risques les plus importants ».
Le dirigeant constate également que les entreprises s’intéressent davantage aux cyber-solutions moins coûteuses, à condition toutefois qu’elles ne mettent pas en danger les données de l’entreprise, de leurs collaborateurs et de leurs clients.
Mieux se préparer à la crise à froid et en amont
La cartographie des risques n’est pas le seul dispositif à mettre en œuvre pour lutter efficacement contre les cyberattaques. De nombreux experts conseillent aux entreprises de se préparer à les affronter en amont. Quitte à reproduire “à froid” des attaques du type ransomware pour voir comment les équipes de la DSI réagiraient “à chaud” au plus fort de la crise. « Le temps compte dans une attaque. si vous passez 3 jours à vous organiser, vous avez perdu d’avance » prévient Guillaume Poupard. Quant à la société de conseil Synetis, elle préconise aussi aux RSSI de réaliser ces exercices à froid pour anticiper la menace et de revenir aux fondamentaux de la sécurité opérationnelle décrits par l’ANSSI.
Un avis partagé par Jean-Nicolas Piotrowski, PDG d’iTrust, qui recommande « d’avoir préparé un plan de reprise après sinistre avec des simulations pour identifier les dégâts, remonter les réseaux, relâcher les sauvegardes, gérer les risques RGPD sur les données perdues, etc. »
« Il convient de repenser en amont le plan de gestion de crise en tirant les enseignements des cyberattaques lors du confinement », estime pour sa part le Colonel Bajard, sous-directeur à la Direction Interarmées des Réseaux d’Infrastructure et des SI de la Défense lors d’un atelier de Thales/Ercom. « Par exemple, les nouveaux outils mobiles ont ouvert des horizons à nos dirigeants et nous avons dû faire évoluer nos plans avec le télétravail ».
Faire front commun avec les métiers…
La meilleure prise en compte des cyber-besoins des divisions métiers par la DSI – l’un des serpents de mer de la profession -, est l’un des effets de bord positifs lié à la recrudescence des cyberattaques lors du confinement, mais aussi à la rationalisation des dépenses IT qui en découle a posteriori. La crise sanitaire a illustré de manière concrète la nécessité pour les DSI d’associer les métiers plus étroitement aux déploiements de dispositifs de sécurité pour les protéger. « Il est important de les préconstruire avec les métiers afin de leur donner au moins des garanties sur le fonctionnement des dispositifs non critiques par exemple. Et pour mieux les sensibiliser sur ces sujets par la même occasion » explique Eric Doyen de Malakoff Humanis.
Une approche que partage Philippe Loudenot des ministères sociaux : « Je conseille même de créer des procédures d’utilisation dégradées pour les métiers afin de leur permettre de continuer à utiliser leurs installations en cas de cyberattaques. C’est vital dans les CHU qui ont été attaqués par exemple. Les métiers de ces établissements apprécient que le RSSI les associe davantage désormais à la lutte contre les cybermenaces. C’est d’autant plus notable que c’est la première fois que l’on y parvient avec un tel succès ».
Olivier Franchi, directeur général de l’expert Sysdream (Hub One), invite d’ailleurs les RSSI à sensibiliser et à former davantage les populations des métiers : « La cybersécurité n’est plus uniquement une affaire de spécialistes. Son développement rapide passe par un élargissement des compétences. A l’avenir, les supers experts se concentreront sur les projets à beaucoup plus forte valeur ajoutée, et ils laisseront les tâches moins complexes à des techniciens moins experts, sur une mission précise par exemple ».
Mieux défendre les métiers et trouver de nouveaux budgets
Mieux associer les métiers à la lutte contre les cyberattaques durant le confinement a aussi permis aux DSI de déployer rapidement des solutions défensives. « C’est la première fois depuis le début du confinement que la DSI parvient à monter des systèmes d’information pérennes aussi rapidement dans le service public. Je suis bluffé par le sérieux et le niveau d’engagement de toutes les parties » se réjouit Philippe Loudenot. Cette crise sanitaire majeure a donc décloisonné les organisations, ce qui a permis d’accélérer les déploiements IT.
« Les métiers peuvent fournir à la cyber des budgets qu’elle n’a pas en propre. »
Remi Fournier
Rémi Fournier, le directeur général de Synetis, a rappelé durant les Assises de la Sécurité 2020 qu’il est dans l’intérêt du RSSI de travailler davantage de concert avec les divisions métiers : « Quand vous passez en revue les cyber-risques que courent votre entreprise, pensez à les aligner avec ceux des métiers, qui pourraient vous fournir des budgets que vous n’avez pas en propre ou vous aider à convaincre le Comex pour les obtenir ».
Durcir les mesures après les avoir relâchées temporairement
Les experts s’interrogent tous sur la manière de redurcir en 2021 leurs mesures de sécurité après les avoir relâchées temporairement, lors du premier confinement, afin d’inclure les télétravailleurs dans leur SI étendu. Et parmi les exemples de dérogations difficiles à remettre en place figurent les patchs et les mots de passe, qui sont deux des principales failles de sécurité. Surtout quand un PC est utilisé à la maison à titre professionnel et… personnel.
Et c’est bien là le problème. Pour rester connectés au SI de l’entreprise lors du confinement, les télétravailleurs ont dû utiliser en urgence leurs PC personnels, voire professionnels mais en mode de sécurité dégradé. Or nombre d’entre eux ont été parfois laxistes au niveau de la diffusion des mots de passe sur des terminaux familiaux multi-utilisateurs, où chacun confond souvent l’utilisation de ses nombreuses applications professionnelles et personnelles.
Certaines entreprises ont contré la menace pendant le premier confinement en utilisant des dispositifs d’accès au poste de travail à authentification renforcée, du type multifactoriel (MFA). Mais la menace n’a pas complétement disparu. En effet, des dizaines ou des centaines d’éditeurs demandent régulièrement aux utilisateurs de leurs multiples logiciels sur le PC de modifier leurs mots de passe. Et là, le cyber-risque augmente si l’entreprise ne coordonne pas ou ne surveille pas ces changements de mots de passe à répétition.