Les cinq piliers d’une cybersécurité efficace

Les cyberattaques peuvent entraîner des pertes financières considérables, causer des problèmes juridiques et ternir une réputation. D’où l’importance d’une solution de sécurité efficace et complète. Nous avons évoqué le sujet avec Patrick Gillis, Head of B2B ICT Product Solutions, Business Development & Solution Design, et Tom Meekers, Solution Architect IT chez Orange Belgium. Ils nous ont expliqué que ce type de solution se décomposait en 5 phases : Identify (identifier), Protect (protéger), Detect (détecter), Respond (répondre) et Recover (récupérer).

Allons droit au but : à quels types de cyberattaques les entreprises sont-elles le plus souvent confrontées en ce moment ?

Patrick : Sans hésiter, le phishing, les ransomwares et l’exploitation des vulnérabilités au niveau des logiciels qui n’ont pas été mis à jour à temps. Ces cybermenaces ne cessent de gagner en importance. Selon le Centre pour la Cybersécurité Belgique (CCB), le nombre d’incidents liés à des ransomwares a augmenté de 75 % au cours de l’année écoulée. Le CCB estime le coût d’une cyberattaque à 250 000 euros en moyenne.

Le délai moyen de détection d’une cyberattaque est en légère baisse : 102 jours. Cela reste long, un cybercriminel peut agir pendant plus de trois mois en moyenne sans être repéré. Je conseille donc à toutes les organisations, y compris les PME, de veiller à prendre suffisamment de mesures pour limiter les risques. Il existe de nombreuses solutions de sécurité efficaces pour déjouer de telles attaques. Grâce à la directive NIS2, nous disposons désormais d’une législation européenne qui s’attelle à ce problème et tient même les chefs d’entreprise pour responsables s’ils ne prennent pas les mesures appropriées.

Par où les entreprises doivent-elles commencer ? Comment peuvent-elles savoir quelles mesures prendre pour se protéger des cyberattaques ?

Tom : Les entreprises ne doivent pas partir de zéro. En 2014, le National Institute of Standards and Technology (NIST) des États-Unis a publié le Cybersecurity Framework, un ensemble de lignes directrices destinées à réduire les risques en matière de cybersécurité dans les organisations. La directive européenne NIS2 est, en substance, une transposition de ces lignes directrices dans la législation européenne. Et avec son CyberFundamentals Framework, le CCB a élaboré une série de mesures concrètes visant à protéger les données des organisations belges et à réduire le risque de cyberattaques. Ce CyberFundamentals Framework s’appuie notamment sur le Cybersecurity Framework du NIST et adopte les cinq piliers que doit comporter toute stratégie de protection : Identify (identifier), Protect (protéger), Detect (détecter), Respond (répondre) et Recover (récupérer). Ces piliers sont au cœur de notre offre de sécurité.

En quoi consiste exactement le premier pilier, Identify ?

Patrick : Avant de sécuriser quoi que ce soit, il faut savoir ce qui doit l’être. C’est l’étape la plus compliquée pour de nombreuses entreprises, qui ne disposent bien souvent pas d’un inventaire des ordinateurs portables, des serveurs, des accès réseau et des processus. Quand une entreprise nous demande de l’aide, nous commençons généralement par évaluer son informatique afin d’identifier les appareils en présence.

Tom : Nous examinons également les risques : à quels risques les actifs exposent-ils l’entreprise et quels sont les principaux ? Nous nous intéressons aussi aux fournisseurs, car il faut tenir compte des risques de l’ensemble de la chaîne d’approvisionnement, comme le souligne la directive NIS2. A la fin de cette étape, l’entreprise doit savoir de quels appareils et infrastructures elle dispose et ce qui doit être protégé.

Vient alors la deuxième étape, Protect ?

Tom : En effet. Les solutions informatiques qui aident à protéger les serveurs et les utilisateurs jouent un rôle clé à ce stade. Je pense ici aux technologies telles que l’authentification multifactorielle, la gestion des identités, le contrôle d’accès et les gestionnaires de mots de passe.

Patrick : Le facteur humain est également essentiel à cette étape. Pas moins de 82 % des failles de sécurité sont la conséquence d’une erreur humaine. Les utilisateurs cliquent naïvement sur des liens dangereux, choisissent des mots de passe trop simples et se montrent imprudents quand ils manipulent des données sensibles. C’est pourquoi nous prévoyons aussi une sensibilisation à la sécurité à ce stade. Les collaborateurs y apprennent à reconnaître les attaques par phishing et à prendre conscience de leur rôle dans la cybersécurité de leur organisation. La protection est donc non seulement une question de technologie, mais elle revêt aussi une dimension humaine.

Quand passe-t-on au pilier Detect ?

Patrick : Certaines attaques passent inévitablement à travers les mailles du filet. Vient alors la phase de détection. C’est souvent là que le bât blesse, si l’on en croit le chiffre que j’ai donné. Le délai moyen de détection d’une cyberattaque est de 102 jours. C’est beaucoup trop long.

Tom : Ici, la technologie est encore plus indispensable que pour la protection d’une entreprise. Les cyberattaques sont nombreuses et ne s’arrêtent jamais. On ne peut décemment pas demander à quelqu’un de surveiller un tableau de bord 24 h/24 pour détecter une attaque. Nous conseillons donc aux entreprises d’utiliser des outils EDR (Endpoint Detection & Response, détection et réponse des terminaux) qui surveillent les appareils en continu et nous alertent en cas d’activité suspecte. La technologie XDR (Extended Detection and Response, détection et réponse étendues) nous permet d’évaluer les activités sur des appareils individuels, mais aussi de mettre en rapport les notifications issues de différents terminaux et solutions de sécurité pour obtenir une image plus complète de l’éventuelle attaque.

Place au pilier Respond. Comment les entreprises doivent-elles réagir à une cyberattaque ?

Tom : Les phases Detect et Respond sont étroitement liées dans le cadre de la cybersécurité. De nombreux outils associent même la protection, la détection et la réponse au sein d’une seule solution. La réponse à une attaque peut être partiellement automatisée à l’aide de logiciels, mais une intervention humaine reste nécessaire. Les activités des cybercriminels ressemblent parfois très fort à celles d’un administrateur système. Un outil a beau signaler une activité suspecte, un analyste de notre Security Operations Center (SOC) doit toujours en vérifier l’origine : un administrateur système ou une attaque.

Patrick : Au moment d’élaborer un plan de réponse aux incidents de cybersécurité pour un client, nous intégrons toujours les piliers Protect, Detect et Respond. Bon nombre d’entreprises ne disposent pas d’un tel plan ou ne savent pas comment l’utiliser. Il est pourtant crucial de pouvoir réagir avec détermination et de manière ciblée en cas d’incident. Comment communiquer avec les clients ? A quels experts faire appel pour réagir à l’attaque ? Autant de questions à envisager à l’avance.

Enfin, on en arrive à l’étape Recover. En quoi consiste ce dernier pilier ?

Tom : Une cyberattaque peut causer beaucoup de dégâts. La reprise fait partie du plan de réponse aux incidents. Les entreprises ont besoin d’un plan de reprise après sinistre qui ne se limite pas à débrancher la prise. Le pilier Recover est souvent simplement considéré comme un moyen de limiter les dégâts dans les premières heures qui suivent un incident. C’est bien sûr important, mais trop restrictif. Il faut parfois des mois pour remettre tous les systèmes en état de marche, réparer les dommages en termes de réputation et apporter les améliorations nécessaires pour éviter une nouvelle attaque. Là encore, il faut avoir un plan.

Avez-vous d’autres conseils à donner aux entreprises qui souhaitent se protéger ?

Patrick : Les grandes entreprises ne sont pas les seules à être victimes de cyberattaques. Les cybercriminels visent les entreprises de toutes tailles. Il convient également de souligner que la directive NIS2 confie la responsabilité de la cybersécurité aux dirigeants. Ils doivent prendre des mesures de sécurité, veiller à la diffusion suffisante des connaissances en la matière au sein de leur entreprise et signaler les incidents au CCB.

Tom : La cybersécurité devrait être au cœur de toute entreprise. La protection doit venir d’en haut. Elle doit faire l’objet d’une politique de sécurité, assortie d’un budget. Des formations doivent aussi sensibiliser tous les collaborateurs à l’importance de la cybersécurité. Elle n’est pas uniquement du ressort de l’IT Manager ou du CISO. Tous les collaborateurs sont concernés.