Accueil Cybersécurité Over digitalisation, ROI et ransomwares : le triptyque de 2022

Over digitalisation, ROI et ransomwares : le triptyque de 2022

2021 aura été l’année de tous les défis – une crise sanitaire, des attaques par ransomwares qui se multiplient, etc. Les entreprises ont déployé d’énormes efforts pour maintenir le cap. Mais à l’aube de 2022, si la prise de conscience est réelle et de nombreuses actions sont mises en place, des goulots d’étranglements majeurs demeurent et un long chemin reste encore à parcourir pour les entreprises selon Philippe Borloz, directeur général de Kudelski Security sur la zone EMEA.

En 2022, attention à l’over digitalisation

Nous sommes définitivement à l’ère de la numérisation. Mais comme pour beaucoup de choses, le trop est souvent l’ennemi du bien. Ce qu’on appelle aujourd’hui « l’over digitalisation » devient un véritable problème pour les entreprises : elles cherchent à automatiser des processus, sans pour autant être certaines de la pertinence de cette action. Certes, les solutions analogiques sont très efficaces, mais celles-ci doivent néanmoins être envisagées dans le cadre d’une approche globale. Et pour cause, nombreuses sont les entreprises qui numérisent des processus manuels complets, sans nécessairement tenir compte de tous les impacts de cette numérisation. Alors, même si vouloir automatiser est à la base une bonne chose, il reste beaucoup plus difficile de pirater un réseau si un complice interne est nécessaire pour y parvenir. Prenez par exemple le processus de déclenchement d’une attaque nucléaire : même si beaucoup de processus reposent sur l’IT, il sera quand même nécessaire à deux opérateurs d’utiliser des clés physiques simultanément pour déclencher le processus. Ici, il est alors non seulement une question de sécurité, mais également de contrôle sur l’ensemble du processus.

En 2022, nous ne pourrons ni nous passer de l’analogique, ni du numérique. Alors, pour les rendre encore plus complémentaires au cours de l’année qui arrive, les entreprises devraient miser sur des technologies faciles à automatiser, basées sur le cloud, et reposant sur une approche Security by design, assurée par un DevSecOps agile.

Retour sur investissement : cette épée de Damoclès qui pèse sur les équipes IT

Nul doute que les investissements dans la cybersécurité ont été indispensables ces deux dernières années, et cela ne semble pas prêt de changer. En effet, selon Gartner, la cybersécurité et la protection des données seront en tête de liste des investissements informatiques prévus pour 2022.

Même si la démarche est louable, les entreprises devront continuer à rationaliser ces investissements, et à en tirer le maximum de bénéfices aussi bien en matière de protection que de business, car le moment où les directeurs financiers demanderont des comptes se rapproche. Pour y parvenir, et ceci encore plus en 2022, les entreprises devront déterminer leur niveau de maturité actuel et identifier leurs objectifs et leur marge de progression en matière de cybersécurité afin de déterminer la méthodologie à mettre en place. Pour ce faire, elles devront créer un comité dédié à la cybersécurité (40% des CA d’entreprises devraient en disposer d’ici à 2025) afin d’assurer une surveillance et un examen plus strict des stratégies de cybersécurité – que ce soit en termes de valeur, de risque ou encore de coût. Ce n’est en effet qu’à travers une analyse poussée que les entreprises pourront coordonner politiques, programmes et activités pour atteindre leurs objectifs.

 

Ransomwares : payer les rançons favorise le cercle vicieux

Les attaques par ransomwares se multiplient. Le paiement des rançons est devenu un dilemme éthique, où les considérations morales s’opposent aux aspects purement business. Au niveau micro-économique, payer – ou non – la rançon résulte d’une analyse coûts-avantages. Cependant, macro économiquement parlant, payer la rançon ne semble pas être la solution. En plus d’encourager les hackers à réitérer, ou encore à développer de nouvelles techniques, cette pratique nourrit un cercle vicieux. Plus les victimes paient les rançons, plus les réseaux cybercriminels s’enrichissent, permettant d’intensifier leurs attaques.

Seul un bouleversement des conditions pourrait aider à rompre cette dynamique et à laisser entrevoir un avenir « cybersécurité » sûr

En plus de financer indirectement le marché de la cybercriminalité, les entreprises qui paient les rançons s’exposent à un réel problème d’éthique. Alors que certaines structures ont déjà refusé de payer par principe (hôpitaux et collectivités par exemple), d’autres ne voient la situation qu’au travers d’un prisme commercial. Pourtant, il est important de s’interroger sur ce qui est financé par ces rançons. Personne ne peut aujourd’hui garantir que ces fonds récoltés ne serviront pas à financer une cellule terroriste, participer au développement de certains marchés noirs ou de certaines activités illégales.

Pour mettre fin à cela, des régulateurs – en France et à l’international – songent à une solution : interdire le paiement des rançons. D’ailleurs, Gartner va jusqu’à prévoir que 30% des États mettront en place un système de régulation d’ici à 2025 (contre seulement 1 % en 2021). Si les experts du secteur s’accordent à dire qu’il ne faut jamais payer, aller jusqu’à l’interdire ne serait toutefois pas la panacée. Et pour cause, sous le joug à la fois des pirates et des organismes de contrôles, beaucoup d’entreprises pourraient se retrouver lourdement sanctionnées – voire en faillite. Néanmoins, les experts en sécurité doivent s’attendre à une répression plus agressive des paiements en 2022. La crypto-monnaie étant largement utilisée dans ce cas de figure – et son marché n’étant pas réglementé, le paiement des rançons a des implications éthiques, juridiques et morales qu’il est indispensable de prendre en considération.

Pour réellement résoudre le problème, les entreprises doivent aller au-delà des stratégies d’atténuation des symptômes. La mise en place de plans de sauvegarde n’est plus suffisante. S’assurer de sa cyber-hygiène ainsi que d’avoir une bonne approche de détection et de réponse aux menaces – notamment dédiée aux endpoints, semblent constituer une meilleure approche. Mais attention, si les hackers s’attaquent actuellement aux acteurs de la santé ou de l’approvisionnement, les fournisseurs pourraient s’ajouter à la liste des victimes tout comme les cabinets d’avocat.

Formation et sensibilisation : des chantiers prioritaires devenus populaires

Cela fait déjà plusieurs mois que la pénurie de talents, dans le domaine de cybersécurité, fait les gros titres. La numérisation des échanges et des transactions, ainsi que la complexification de la menace renforcent le besoin de professionnels qualifiés. D’ailleurs, l’ANSSI – qui a bien conscience de ces enjeux – a récemment créé l’Observatoire des métiers de la cybersécurité pour aider entreprises et administrations en ce sens. Au-delà de la question du recrutement se pose, en 2022, celle de la formation. Et pour cause, la formation et l’éducation des utilisateurs ne sont pas suffisantes et fait perdre énormément de temps aux RSSI. Beaucoup d’entreprises considèrent encore la formation comme une première ligne de défense contre les attaques. Or, quand on y réfléchit bien, elle devrait être le dernier rempart. En outre, elle fait peser la responsabilité et la faute sur l’utilisateur, au lieu de permettre aux entreprises de concentrer leurs efforts sur la réduction de la surface d’attaque.

Travail hybride : sécurité technique face à la sécurité personnelle

En 2021, le modèle de travail hybride a su se transformer et s’imposer comme nouvelle norme. Les entreprises ont alors fait de nombreux efforts afin d’assurer la sécurité de leurs terminaux. Malgré cela, leurs environnements étant de plus en plus disparates et interconnectés, les employés sont quant à eux moins protégés. En travaillant à distance, ils échangent davantage avec leurs collègues et délaissent les formations dédiées à la sécurité. Sachant qu’en cette période d’insécurité, la confiance des employés en leur entreprise a été bouleversée.

De plus, il ne faut pas oublier que l’arrivée de la génération Z sur le marché du travail dans les prochaines années aura également un impact sur la sécurité. Celle-ci, hyperconnectée, est moins sensible aux questions de confidentialité et entretient une relation moins durable avec son employeur. Celle qu’on appelle la « Gen Z » est également moins sensible aux problématiques de cyberattaques, considérant parfois que cela fait partie du « jeu ». Bien qu’ils figurent dans la liste des cibles principales, les jeunes internautes sont trop souvent indifférents à cette problématique et considèrent même qu’il est du ressort du gouvernement d’assumer la responsabilité principale de la protection des données des citoyens.

En 2022, nul doute que la sensibilisation et la démocratisation autour des bonnes habitudes de cybersécurité seront essentielles. Car, pour faire face à une surface d’attaque de plus en plus importante, l’action de chacun aura un impact non négligeable sur la sécurité de tous.