Editor | Michael Renotte

Une approche globale de la sécurité

 

Dans un monde en voie de digitalisation où tout tend vers l'interconnexion, les cyberattaques se font de plus en plus nombreuses et sophistiquées. Les organisations sont confrontées à ces nouveaux défis sécuritaires en même temps qu’elles adoptent de nouvelles façons de travailler. Aujourd’hui tous les spécialistes s’accordent à dire que la question n’est plus de savoir si une attaque aura lieu, mais quand et comment celle-ci sera perpétrée. Jacques Ruckert, Directeur Products & Solutions de Telindus apporte son éclairage sur les dangers qui menacent nos économies en voie de numérisation et sur les moyens de s'en prémunir.

 

L'émergence d'une nouvelle catégorie de cybercriminels professionnels et organisés accélère la propagation des menaces en ligne. Parallèlement, les points d'entrée se multiplient - aujourd'hui les appareils mobiles, demain les objets connectés. Quant aux entreprises, elles forment avec leurs fournisseurs et partenaires des écosystèmes de plus en plus intriqués, élargissant du même coup la surface d'attaque. Dans ce contexte, quel regard portez-vous sur l'évolution des menaces qui pèsent sur la sécurité de l'information ?

 "La cybersécurité s'inscrit aujourd’hui dans une course de vitesse entre attaquants et défenseurs. On peut se résigner et se dire qu'à ce jeu, les attaquants auront toujours un coup d’avance et que les mécanismes de défense ne servent au mieux qu’à ralentir les attaques ou à les détourner vers des cibles plus faciles à atteindre. Je suis convaincu qu'il ne faut pas succomber au fatalisme et contrer cette idée reçue."

 "On a effectivement assisté récemment à l'exploitation de vulnérabilités Zero-Day par des équipes de hackers professionnalisées dans le but de corrompre des cibles sur commande. Dans ce cas, le gain ne vient plus de la victime dont on essaye de tirer une rançon mais d'un commanditaire qui a en fait recours à un véritable outsourcing du service de compromission d’entreprise. Le business du cryptolocking est également devenu très porteur et s'industrialise. Il profite notamment de l'apparition de plateformes de Malware-as-a-Service qui révolutionnent les modes de distribution de scripts malveillants sur le Dark Web."

 "Le concept clé en matière de cyberdéfense est la prise de conscience de l'universalité de la menace. Souvent, les entreprises sont confrontées aux mêmes agresseurs que leurs pairs. Il est donc essentiel de partager les expériences et de communiquer avec les organisations qui doivent faire face à des situations similaires. Des outils existent pour le partage d’information, comme le Telindus-CSIRT, notre structure d’interface et de réponse aux incidents de cybersécurité, ou le SOC que nous sommes en train de mettre en place, véritable tour de contrôle chargée de superviser et d'administrer en continu la sécurité des systèmes d’information vis-à-vis des menaces internes et externes, pour nos propres besoins mais aussi pour le compte de nos clients."

"Par ailleurs, l'un de points d'entrée auxquels votre question fait référence, c'est le facteur humain, qui n'est pas à négliger. De maillon faible, l'élément humain peut devenir un maillon fort de la chaîne de sécurité, en augmentant le niveau de connaissance des risques et des bonnes pratiques, notamment en multipliant les campagnes de sensibilisation. Les experts de Telindus organisent ainsi pour leurs clients des campagnes de vrai-faux phishing qui permettent non seulement d'évaluer le niveau de vigilance des utilisateurs mais aussi d'augmenter leurs compétences ainsi que l'intelligence de détection et de réaction de l'ensemble de la société. Il est essentiel de sensibiliser chaque acteur de l'entreprise, quelle que soit sa fonction, parce qu'il suffit d'une seule défaillance humaine pour laisser pénétrer un pirate et que toutes les ressources de l'organisation - et de ses clients - soient corrompues. Je n'en veux pour preuve que les résultats des actions de piratage éthique que nous organisons régulièrement chez nos clients: il se trouve toujours une quantité non négligeable d'utilisateurs pour ouvrir une pièce jointe malveillante."

 "C'est notamment à partir de ce type d'action, permettant de disposer d’un état des lieux du niveau de sensibilisation mais également de sécurité technique et organisationnelle, que nous pouvons travailler avec le client à définir une stratégie adaptée de défense pour son organisation. De tels audits, et les campagnes de sensibilisation en particulier, sont bien entendu appelés à être répétés régulièrement, notamment lors de l’arrivée de nouveaux collaborateurs."

 "Il faut cependant maintenir un juste équilibre entre sécurité et opérabilité. Il est ainsi primordial pour une entreprise d'acquérir une bonne connaissance de son exposition aux dangers. C'est à travers une analyse des risques que l'on pourra établir les priorités et faire la balance. Dans tous les cas, les fondamentaux sont toujours à assurer, à commencer par l'identification et la protection des joyaux de la couronne - propriété intellectuelle, secrets industriels et autres actifs vitaux - afin de mettre en place une défense en profondeur. L'analyse et la gestion des risques sont au cœur de toute action de cybersécurité."

 

Jusqu’à présent la lutte contre les cybermenaces s’était essentiellement concentrée sur l’informatique de gestion et bancaire. Désormais, les attaques ciblent également les systèmes d’information industriels et l’informatique embarquée. Les PME ne sont pas davantage épargnées par les criminels qui voient en elles des cibles plus vulnérables que les grandes entreprises. Qui plus est, les grands donneurs d’ordres exigent de plus en plus de rigueur numérique de la part de leurs prestataires, fournisseurs et sous-traitants: il s’agit d’éviter que ces derniers soient utilisés comme cheval de Troie pour accéder aux systèmes d’information de leurs commanditaires. Comment faire prendre conscience aux petites entreprises, qui souvent ne disposent pas d'un CIO et encore moins d'un CISO (Chief Information Security Officer), de leur fragilité économique face aux menaces ?

 "Toutes les entreprises ont des données importantes, voire vitales, à protéger. Le secteur financier est bien sûr plus visible aux yeux du public, car le cambriolage de banque est un type d'attaque ancré de longue date dans les esprits, mais certaines PMEs, comme les cabinets médicaux ou les études d’avocats, gèrent des données sensibles et détiennent des informations critiques qu'il faut savoir protéger à la hauteur de leur importance. Les impacts d'un ransomware sont d'une ampleur différente selon la taille de l’entreprise: si les attaques peuvent causer du tort à de grandes sociétés, elles peuvent s'avérer très rapidement dramatiques pour les petites entreprises."

 "Bon nombre de PMEs, particulièrement au Luxembourg, ont des secrets d'affaires tout aussi précieux à protéger que les grandes organisations et le vol de ces secrets mettrait gravement en danger leur existence même. Nous conseillons à ces entreprises, qui ne disposent pas des ressources et des budgets nécessaires pour assurer leur cybersécurité, d'externaliser ce poste auprès de services comme les nôtres.

 "Il faut aussi garder à l'esprit que chaque société a des clients, des partenaires, des actionnaires et des employés qui comptent sur elle, sans oublier l’écosystème dans lequel elle est inscrite. Chaque entreprise porte une part de la responsabilité de la sécurité de toute la chaîne économique et est susceptible d'avoir un impact systémique sur les autres composantes. Dans ce contexte, la certification ISO 27001 pour le Management de la Sécurité de l'Information - que Telindus a obtenue pour ses activités de cloud computing, d'outsourcing et de managed services - peut faciliter la gestion des informations sensibles, notamment les données financières, les documents soumis à la propriété intellectuelle, les informations relatives au personnel ou les données confiées par des tiers, et constituer un gage de confiance à même de rassurer les parties prenantes sur le fait que les risques sont gérés de manière appropriée."

 

Comment sécuriser les informations d'entreprise les plus précieuses et assurer la confiance nécessaire pour développer sereinement les activités économiques? De quelle manière aidez-vous vos clients à développer leur stratégie de sécurité et à mettre en œuvre les solutions et services appropriés? En somme, quelle est l'approche de Telindus en la matière ?

 "Au cours de ces 13 dernières années, l’écosystème luxembourgeois de la cybersécurité s'est fortement développé. Dès le début, Telindus s'y est activement impliquée. Nous avons ainsi participé au lancement de grands projets nationaux et acquis une grande connaissance des défis sécuritaires que les entreprises sont amenées à rencontrer. Telindus dispose de son propre CERT et cela bénéficie également à nos clients. Pour sensibiliser et former ces derniers à la cybersécurité, nous disposons d'un formidable outil: notre centre de formation. A travers cet outil, nous réunissons l'infrastructure pédagogique, les formateurs, les compétences en cybersécurité et les partenariats avec des constructeurs et des éditeurs spécialisés nécessaires pour délivrer des campagnes de sensibilisation et des cursus de formation propres à aider nos clients à faire face aux menaces présentes et à venir."

 "Notre approche est donc globale: outre des produits, nous proposons du conseil, de la gestion, de la gouvernance et de la formation. L'offre de Telindus en matière de sécurité de l'information est sans doute la plus complète du marché dans la mesure où nous en abordons tous les aspects."

 

One question? contact us !

* Required fields
Get a monthly summary from our blog