Cybersécurité : agissez avant qu’il ne soit trop tard

Cybersécurité : agissez avant qu’il ne soit trop tard

Toutes les entreprises sont concernées par la cybersécurité. Pourtant, il existe encore beaucoup à faire dans ce domaine. À l’occasion de la semaine de la cybersécurité, Telindus publie son « Cybersecurity Report 2019 » et fait le point sur le secteur. Rencontre avec Olivier Trientz, Responsable commercial des services de Cybersécurité &CSIOC chez Telindus.

Les entreprises luxembourgeoises sont-elles parées contre les incidents en matière de cybersécurité?

Beaucoup de sociétés ont mis en place des stratégies de cybersécurité à différents niveaux avec une certaine disparité. En effet, 51% des entreprises questionnées déclarent disposer d’une stratégie de sécurité globale. Le taux monte à 61% pour la stratégie de réponse aux incidents et même 66% déclarent avoir un plan de réponse défini en cas d’incident de sécurité. On note que les entreprises s’attachent davantage à la guérison qu’à une stratégie globale. Les entreprises sont dans une démarche très réactive : au lieu de mettre en place un plan de stratégie globale, elles se concentrent davantage sur leur capacité à recouvrer leur activité en cas d’attaque. Par contre, parmi les 66% des sociétés ayant un plan de réponse seulement 44% ont testé ce plan. La confiance n’excluant pas le contrôle, il est primordial de tester ses plans pour être prêts en cas d’attaque réelle.

Qu’est-ce qui empêche les entreprises de mettre en place une stratégie globale de cybersécurité ?

Le principal frein est le manque de soutien du management. Il est pourtant crucial de l’intégrer à la définition de la stratégie de cybersécurité de toute entreprise. Il s’agit certes d’un centre de coût et même pour certains d’un frein pour les équipes opérationnelles et business mais les risques et les pertes sont beaucoup plus grands pour l’entreprise en cas d’incident. Ces dernières années, beaucoup de sociétés se sont améliorées en mettant en place des plans de continuité de service (BCP-DRP) mais la sécurité reste le parent pauvre de ces démarches. Selon l’étude de Global Data Protection Index de Dell EMC, le nombre d'entreprises ne parvenant pas à récupérer leurs données après une faille de sécurité a presque doublé depuis 2016 ! Au Luxembourg et selon notre étude, les incidents de sécurité sur les 12 derniers mois sont en grande majorité (84%) des attaques de type social engineering (phishing, cryptolocker, ransomware) qui ont pour cible les données de la société. Le « cyber » risque est donc bien présent. Le top management des entreprises doit placer la cybersécurité au cœur de sa stratégie afin d’assurer la continuité de son business. Avec l’émergence du cloud public, cela est d’autant plus vrai que la maîtrise et la connaissance des Systèmes d’Information est plus complexe et le « shadow IT » augmente fortement.  Alors comment améliorer cette situation et avoir plus de support du management ? Tout d’abord en démocratisant le discours des experts en parlant davantage de risque business que de solution de sécurité afin que les décisionnaires assimilent et approuvent le message. Et aussi communiquer, communiquer, communiquer. La cybersécurité reste un monde très fermé. Les sociétés freinent leur communication en matière d’incident de sécurité car elles craignent pour leur réputation, ce qui est compréhensible mais cela ralentit fortement les capacités de défense de l’écosystème.

Quelles sont les causes de ces incidents? 

 84% des entreprises interrogées dans notre étude ont dû faire face à des incidents dont la cause est l’exploitation de la faiblesse humaine comme par exemple social engineering. Au lieu d’essayer de pénétrer un système informatique, les attaquants vont faire une tentative plus ou moins élaborée de phishing par exemple. Ensuite, 48% des sociétés ont dû faire face à des incidents liés aux erreurs humaines, c’est-à-dire des actions non volontaires comme l’envoi d’un mail à un mauvais destinataire, une erreur de paramétrisation d’un système, une erreur d’attention, etc. Enfin, seules 18% des sociétés ont eu des incidents résultant d’attaques externes avec la volonté de nuire : tentatives de récupération des données, attaques de deni de service, blocage des sites internet, etc. Ces attaques ont pour but de soit bloquer le business de la société (ex : attaques DDOS), soit de récupérer et revendre des données confidentielles, voire les chiffrer pour demander une rançon.

Comment les entreprises peuvent-elles mieux se protéger? 

De la même manière que les pompiers qui préviennent, s’exercent et éteignent les différents types d’incendies, la stratégie de cybersécurité permet de prévenir, de contrer les attaques et de gérer les incidents. Les entreprises, qui font face à un manque de ressource ou de compétence en sécurité, ne doivent pas rester seules. Les professionnels de la cybersécurité sont là pour les aider et pour qu’elles puissent continuer à se concentrer sur leur cœur de métier. Une fois qu’elles auront défini leur stratégie qui doit être étroitement liée à leur business (condition sinequanone pour obtenir le support du management et donc le budget), il faudra la tester et ce, de manière récurrente car il s’agit d’un domaine en constante évolution. Nous encourageons aussi les entreprises à communiquer et échanger entre elles sur leurs incidents pour que tout l’écosystème luxembourgeois puisse mieux se protéger.