Risque Cyber : il est urgent de se défendre !

L’importance du risque Cyber et son apparente complexité

Le risque Cyber, traduisant une atteinte à la cybersécurité (à la suite d’une intrusion dans un système informatique, perte de données, indisponibilité majeure, etc.) figure désormais en tête de nombreux classements des risques. En 2021, l’assureur Allianz le place en première position de son baromètre annuel des risques. De même, le Word Economic Forum identifie le risque Cyber dans son top 5 des « dangers clairs et présents ».Les régulateurs, les assureurs et bon nombre d’organes de contrôle et de veille ont clairement pris la mesure de ce risque.

Par ailleurs, avec l’interdépendance entre les organisations, leurs fournisseurs et leurs clients, le risque cyber est devenu systémique. Les attaques récentes sur des éditeurs de logiciels comme Solarwinds et Kaseya le démontrent aisément. Mais alors, encore faut-il rappeler que la menace cyber plane sur toutes les organisations, publiques et privées, compte tenu de la dépendance accrue au numérique et du caractère extrêmement lucratif de la cybercriminalité ?

"Advens réalise plusieurs centaines d’audits de sécurité et chacun révèle au moins une faille de sécurité"

Malheureusement oui ! Malgré ce caractère critique et stratégique, malgré les conséquences destructrices, force est de constater que le risque cyber n’est pas sous contrôle. Le rapport de force entre attaquants et défenseurs est plus que déséquilibré. Le niveau moyen de sécurité est trop faible – chaque année, Advens réalise plusieurs centaines d’audits de sécurité et chacun révèle au moins une faille de sécurité. Et les sollicitations pour aider des entreprises victimes d’attaques sont chaque jour plus nombreuses. Le CERT Advens a vu ses demandes exploser de plus de 100 % sur les six derniers mois.

Une urgence : se défendre

Ce constat d’imperfection ne doit pas décourager. Il doit surtout rappeler la nécessité d’agir et de ne plus attendre. La prochaine attaque peut vous impacter dès demain, en direct ou via un de vos sous-traitants, fournisseurs de cloud ou éditeurs de logiciel. Il faut considérer qu’elle va survenir. Et se préparer en conséquence. Le domaine de la cybersécurité peut sembler complexe, encore réservé à un lot d’experts issus de la filière informatique. Si les solutions technologiques sous-jacentes peuvent être complexes (et il le faut pour faire face à des attaques tout aussi complexes !), il est important de souligner que les concepts de base sont simples à appréhender. L’urgence est la mise en place d’une stratégie de défense. Et pour ce faire, il faut une triple capacité : 

- Détecter, pour identifier les failles dans vos systèmes, les tentatives d’attaques et les intrusions avérées

- Réagir, pour mettre fin à une attaque ou, a minima, en réduire les impacts

- Reconstruire, pour rétablir la situation nominale et, idéalement, en ressortir plus fort

Une solution : la sécurité opérationnelle

Ces concepts de base de cyberdéfense peuvent sembler évidents. Le vrai challenge est leur mise en place dans votre organisation. En pratique, c’est le ressort de la sécurité opérationnelle. La cybersécurité est vaste ; elle regroupe de nombreuses activités (définition d’une politique de sécurité, sensibilisation des utilisateurs, mise en conformité, audit et contrôle, etc.).

La sécurité opérationnelle est un domaine technique, qui regroupe les différents travaux à mener pour « faire tourner » la sécurité, et notamment les mesures de défense qu’il est nécessaire de déployer pour maîtriser les risques associés.Vérifier le bon fonctionnement des dispositifs techniques de sécurité, réagir en cas d’annonce d’une nouvelle vulnérabilité, orchestrer la réponse sur incident en cas d’attaque, coordonner les différentes barrières de protection : toutes ces activités peuvent semblent complexes et éloignées des priorités business. Mais elles sont pourtant essentielles – tout comme la vérification des plaquettes de frein lors de la révision d’une voiture !

Il est donc nécessaire de maîtriser cette sécurité opérationnelle. Très concrètement deux chantiers doivent être menés à bien. Le premier est celui du SOC, le Security Operations Center. Le second est celui du CERT, le Computer Emergency Response Team.

• Le SOC est la tour de contrôle de votre cybersécurité. C’est un dispositif de surveillance mais également de coordination des réponses en fonction des alertes qu’il va lever. En quelques mots, le SOC collecte les différents événements de sécurité ayant lieu au sein de votre système d’information pour ensuite les analyser et y détecter des problèmes de sécurité. Il décline votre cartographie des risques en un plan de surveillance et sollicite les différents acteurs de la chaîne d’escalade en fonction de la gravité des alertes.

• Le CERT est un centre d’alertes et de traitement des attaques et des crises cyber. Les experts du CERT sont les « cyberpompiers » que l’on dépêche lorsque l’attaque est avérée et que les dégâts ont commencé. Ce sont des profils spécialisés, capables de mener à bien des investigations numériques mais également capables de vous aider à endiguer une attaque et à reconstruire les systèmes impactés. Le SOC et le CERT vont conjointement opérer les trois fonctions identifiées pour une cyberdéfense efficace : détecter, réagir, reconstruire.

Une approche : la sécurité « as-a-service »

La mise en place d’un SOC et d’un CERT modernes, adaptés aux nouveaux enjeux de la transformation numérique et alignés sur vos priorités business, est une étape incontournable. Cela s’appuie sur l’assemblage et l’orchestration des bonnes compétences, des bonnes technologies et de bons processus. Pour une organisation dont le métier est éloigné de l’informatique, cela peut s’avérer difficile. Les compétences cyber sont rares. Les technologies sont morcelées et difficiles à maîtriser. Les processus ne se déploient pas sans expertise ni expérience.Toutes ces raisons font de l’externalisation une évidence pour les projets de SOC et de CERT.

Le modèle « Security-as-a-Service » propose le soutien opérationnel d’un tiers de confiance, spécialiste du monde cyber, des meilleures technologies et de leur évolution permanente. Le SOC-as-a-Service rassemble toutes les composantes (expertise métiers, processus clés et outils opérationnels) nécessaires pour structurer et animer une sécurité opérationnelle de qualité, capable d’apporter une réponse rassurante face à l’explosion de la menace Cyber. Il s’intègre complètement, d’un point de vue des processus et des compétences, aux équipes sécurité des entreprises pour adapter le focus de la surveillance au contexte métier.

Le partenaire Cyber se charge de la définition de la stratégie de cyberdéfense, fondée sur la formalisation du plan de surveillance et va jusqu’à l’exploitation quotidienne (configuration, traitement des alertes et montées de version) des solutions de protection ou la gestion de crise, le cas échéant.

"Notre offre de SOC-as-a-Service s’est rapidement imposée comme une référence sur le marché français et va porter notre développement européen. Les sollicitations ont explosé depuis 2020 et notre approche répond pleinement aux challenges actuels. Nos équipes sont en capacité de déployer un service de SOC d’entreprise en trois mois. Très rapidement nos algorithmes d’intelligence artificielle captent les premiers signaux à risque, ce qui augmente notablement le niveau de sécurité des clients que nous protégeons. Couplé à notre CERT, le SOC-as-a-Service d’Advens est un rempart très robuste contre la menace Cyber" 

David Buhan, Directeur général, Advens

L’approche « as-a-Service » est gage d’efficacité, d’optimisation et de valeur pour la sécurité opérationnelle d’une organisation. Chacun se concentre sur son métier, sans se perdre en projets internes complexes ou coûteux. La mutualisation opérée par le partenaire cyber permet de capitaliser sur les attaques subies par d’autres structures et de connaître les « signaux faibles » touchant un secteur d’activité ou une zone géographique. L’apport de cette intelligence collective permet notamment le développement de solutions à base d’intelligence artificielle pouvant être entraînée sur une masse critique d’incidents de sécurité, chose impossible dans une approche traditionnelle d’implémentations silotées.

Par rapport à une approche uniquement technologique, le modèle « As-a-service » permet d’aligner le budget alloué avec des résultats concrets en termes d’incidents évités. Cela offre une plus grande visibilité pour toute l’organisation sur la posture de sécurité de cette dernière et un calcul de ROI des dépenses plus objectivable. De manière générale, c’est la seule approche qui nous permettra collectivement de faire face au manque de compétences « cyber » sur le marché et d’atteindre un niveau d’industrialisation de la défense qui peut faire face à la professionnalisation de la menace.

SUR L’AUTEUR. Benjamin Leroux est directeur marketing et RSSI chez Advens. Il évolue dans le milieu de la cybersécurité depuis plus de quinze ans. Après des expériences au sein du cabinet Accenture puis de la société Dictao (Idemia), il a occupé un poste de RSSI Groupe pour un acteur des services financiers. Il a rejoint Advens en 2012 pour développer les offres de conseil et d’accompagnement RSSI. Il est désormais en charge de la définition et de l’animation de l’ensemble des offres d’Advens et du catalogue de services associé – pour rendre la sécurité plus accessible, plus agile et plus efficace. Benjamin représente Advens au Cesin, au Clusif et dans d’autres groupes professionnels. Il pilote également la stratégie de sécurité et de conformité de la société Advens.