Cyber-sécurité : trouver le juste équilibre entre prévention et culture du risque

Cyber_hackerExtorsion, chantage, usurpation d’identité, dénis de services, blocage de sites ou saturation de serveurs sont devenus les nouvelles menaces des organisations privées mais aussi publics. L’internet, le cloud, les terminaux mobiles, et plus globalement la transformation numérique inéluctable de la société vont encore plus favoriser ces cyber-risques. Ces cyber-menaces imposent à toutes les organisations, collectivités territoriales comprises, de déployer une politique de sécurité, et en premier lieu, une cartographie des risques. De plus, la capacité à démontrer la mise en place de procédures pour anticiper et gérer les incidents s’impose en matière de stratégie de sécurité à mi-chemin entre politique de qualité et culture du risque.

De Sony Pictures au Ministère de la Défense, en passant par la chaîne de télévision France 3, plus récemment, l’actualité le rappelle sans cesse, les cyber-risques sont devenus menaces. Plus de 400 milliards de dollars dérobés en 2014 dans le monde, un chiffre qui pourrait atteindre 3000 milliards d’ici à 2020 selon le Forum économique mondial. Passée à un stade industriel, la cybercriminalité transpose dans le monde électronique les crimes économiques classiques, en les accélérant et les amplifiant. Extorsion, chantage et usurpation d’identité défraient la chronique. Mais ils masquent également d’autres incidents moins médiatiques mais tout aussi dommageables pour les entreprises et les organisations, tels que les dénis de services, le blocage de sites ou la saturation de serveurs. Techniques et discrètes, ces actions délibérées constituent néanmoins un risque critique touchant au cœur de leur activité et de l’économie numérique.

Des mesures conjointes entre le public et le privé

Cependant, les acteurs publics et privés s’activent en misant sur la prévention et la coopération. Les autorités judiciaires françaises et ecarto_cyberuropéennes n’ont de cesse d’enrichir un arsenal législatif très complet. En amont, à l’instar de l’ANSSI, de la CNIL, des centres d’alerte et de réaction aux attaques informatiques (CERT) ou du Conseil de l’Europe, un écosystème d’anticipation et d’information guide les entreprises et les organisations dans l’élaboration d’une politique de sécurité. Tandis que pour la répression, les cyber-policiers traitent un nombre croissant d’affaires.

De nombreuses entreprises ont déjà saisi l’ampleur du risque, mais ce n’est pas le cas de toutes. Ainsi, 47% d’entre elles n’ont encore jamais réalisé d’analyse de sécurité de leur système d’information (SI). Dans le même temps, 25 % des entreprises européennes auraient déjà fait l’objet d’un vol de données. Pour les plus impliquées, les cabinets d’avocats et les départements juridiques élaborent des réponses et constituent des preuves pour poursuivre un cyber-crime… ou se retourner contre un sous-traitant. La responsabilité est aussi un risque.

Un corpus législatif opérationnel mais contraignant

Le parapluie de l’arsenal juridique protège, mais impose en retour une obligation aux organisations de protéger leurs données. La question est brûlante, en particulier pour les dirigeants d’entreprise qui risquent pénalement 5 ans de prison et 300 000 euros d’amende pour une douzaine de délits, dont la négligence ou non-déclaration d’un incident de sécurité. L’internet, le cloud et les terminaux mobiles ont rendu mouvant le périmètre des entreprises et imposent une politique de sécurité, et en premier lieu, une cartographie des risques. En profondeur, la notion d’accountability – soit la capacité à démontrer la mise en place de procédures pour anticiper et gérer les incidents – s’impose en matière de stratégie de sécurité à mi-chemin entre politique de qualité et culture du risque.

Mettre en œuvre les bons processus de sécurité

A l’instar de toute démarche qualité, la politique de sécurité des systèmes d’information (SSI) questionne toute l’organisation et doit, pour réussir, être soutenue au plus haut niveau. Les SI doivent garantir des environnements de qualité avec des logiciels et des applications bien développés, sans bogues, qui sont autant de failles de sécurité potentielles. Les métiers et le juridique doivent vérifier et négocier en amont de chaque contrat que les obligations de sécurité sont respectées. Enfin, un audit régulier des prestataires devient une priorité. Les directions orchestrent le tout et définissent des procédures de sécurité en veillant à ce qu’elles soient intégrées dans les pratiques et les consciences au quotidien. Dans ces conditions, 80 % des cyber-risques peuvent être éliminés.

Informer, sensibiliser, former

« 90% des incidents de sécurité sont d’origine humaine et ne mettent pas en cause l’environnement technique » affirment les experts. C’est pourquoi comme un second volet à la fusée de la sécurité, la sensibilisation et la formation des utilisateurs s’avèrent un enjeu primordial. Qu’il s’agisse du citoyen, du consommateur ou du collaborateur, les pouvoirs publics et les acteurs économiques attendent une prise de conscience individuelle. Dans les entreprises, des solutions techniques légères existent pour sécuriser les pratiques telles que la gestion des identités, l’automatisation de création de comptes avec des autorisations paramétrées ou l’anonymisation des bases de données. Mais l’adhésion de tous à la sécurisation des environnements électroniques va devenir un thème récurrent de communication interne et de formation. L’hygiène informatique doit s’imposer dans les esprits comme l’ont compris les autorités européennes en lançant le Mois européen de la cyber-sécurité.

Informer-former-entrainer

La sécurité au service de l’innovation

Une certitude pour les années à venir : les cyber-risques et les cyber-crimes iront croissant, tout comme la détermination des acteurs publics et privés à lutter contre le phénomène. Le succès de l’économie numérique est à ce prix. Mais seule une culture du risque et de la prévention sera à même de protéger durablement les organisations, les entreprises et les utilisateurs. La sécurité est une valeur d’avenir, et qui saura la garantir en tirera les bénéfices.

Pour aller plus loin, CA Technologies a publié un livre blanc sur les cyber-risques, disponible sur LinkedIn : http://bit.ly/cyber-secu-risk

Source: infoDSI.com

Share Button

Les cyber-risques et la cyber-sécurité dans les collectivités territoriales

Le Directeur du Développement de la Cyber-sécurité de SOGETI, Yves Le Floch, dresse sur le forum de l’Association PRIMO dédiée à la gouvernance du risque et à la gestion du risque public, un panorama des cyber-risques dans les collectivités territoriales ainsi des recommandations en matière de cyber-sécurité.

cyber Pirate

1/ A quels cyber risques les collectivités locales et autres entités publiques peuvent-elles avoir à faire ?

tags cyber risquesLa cybersécurité sert principalement à protéger trois aspects du système d’information : la confidentialité, l’intégrité et la disponibilité des données.

Ces données peuvent être attaquées par trois types d’agresseurs, qui ont leurs propres motifs et des capacités techniques de plus en plus avancées.

Le premier type de cyber-agresseur sera le délinquant, qui volera les données pour les revendre au plus offrant. Ou encore utilisera un « ransomware » ou « rançongiciel » : ce logiciel malveillant permet de chiffrer les dossiers, de prendre en otage les données et parfois de bloquer l’accès à un réseau ; les propriétaires doivent alors payer la rançon pour récupérer leurs données, sans jamais être certains de leur récupération correcte ni du fait que le tout n’ait pas été revendu.

On peut aussi avoir affaire à une cyber-agression d’ordre idéologique, telle que le vol de données confidentielles ou privées à des fins de publication en ligne, pour ainsi ternir l’image de la personnalité ou de l’organisme visé. Un autre type d’agression est la défiguration d’un site web, celui d’une mairie par exemple, en changeant des photos ou insérant des messages politiques. De nombreuses collectivités territoriales sont chaque année victimes de tels agissements.

Les deux premiers agresseurs ont aussi un mode d’attaque en commun, qui est de saturer les sites visés, provoquant ainsi un sabotage nommé « attaque en déni de service » qui empêche tout accès au site.

Il existe aussi des agresseurs d’ordre stratégique, souvent très sophistiqués, qui sont eux liés à des Etats et récupéreront des données technologiques, opérationnelles ou stratégiques à des fins d’espionnage.

2/Le cyber-terrorisme est-il une menace réelle ? Quelles formes peut-il prendre ?

Cyber_tagsPour l’instant, le cyber-terrorisme reste une menace virtuelle, sans effet significatif à ce jour, mais il est de plus en plus redouté. Les attaques porteraient sur des opérateurs d’importance vitale : hôpitaux, transports, énergie, communications… déréglant ainsi leurs systèmes d’opération et provoquant la confusion, le sabotage, voire l’arrêt total des activités. Le cyber-terrorisme pourrait créer des dommages physiques importants, car de plus en plus de services sont connectés, via internet ou tout autre réseau, et sont ainsi vulnérables.

N’oublions pas de mentionner la distribution des eaux, qui pourrait également être attaquée à distance, et là aussi, l’arrêt de l’activité est à craindre, voire un surdosage d’un élément dangereux, menant à un empoisonnement. Ou même les feux rouges, lorsque ceux-ci sont régulés par des systèmes reliés, directement ou indirectement, aux réseaux publics. Les saboter à distance pourrait provoquer des accidents et bloquerait une bonne partie de la circulation.

3/ De plus en plus de mairies et d’agences de l’Etat offrent des services numérisés, comme des demandes en ligne de documents administratifs. Quels sont vos conseils pour éviter l’usurpation d’identité ou le piratage des données ? Le problème en France est qu’il n’y a pas de système d’authentification à distance fiable, car les politiques ont toujours reculé sur la création d’une carte d’identité à puce utilisable pour prouver son identité via internet. Ainsi, lors d’une demande administrative en ligne, il n’y a aucun moyen sûr de savoir si le demandeur n’est pas un imposteur, car n’importe qui peut se faire passer pour moi.

cyber-securiteIl n’y a pas de solution vraiment sûre pour régler cette question de l’authentification, il faut donc se contenter de systèmes existant. Pour une demande d’état civil, par exemple, aucune preuve d’identité n’est demandée ; pour l’accès au dossier fiscal, Bercy se contente d’identifiants transmis par courrier ; pour des échanges vraiment sensibles, l’administration française doit trouver d’autres solutions.

Un moyen simple est d’ouvrir un compte personnel en mairie, après justification de son identité, avec attribution d’un mot de passe personnel. Le mot de passe est loin d’être un moyen sûr, mais c’est déjà un début d’authentification. Et dans tous les cas, le chiffrement des données est un impératif, dès lors qu’il s’agit de données sensibles ou personnelles, aussi bien lors des échanges que lors du stockage.

Mais je vais surtout insister sur un point particulier : les collectivités territoriales, et les entités publiques en général sont tenues par la loi d’appliquer le Référentiel Général de Sécurité*, notamment pour les téléservices. Le RGS est un document technique, qui explique les démarches professionnelles à effectuer, comme l’analyse des risques auxquels on est exposé. Il est important de le respecter et de le faire respecter, y compris lorsque l’on confie certains services ou développements informatiques à une entreprise prestataire.

4/ La ville « hyper-connectée » paraît avoir une certaine popularité auprès des élus : beaucoup veulent promouvoir un ensemble de services accessibles depuis n’importe quelle connexion internet, afin de désengorger les mairies et leurs annexes. Pensez-vous  que ces technologies seront viables sur le long terme ? La numérisation des données ne comporte-t-elle pas le risque d’être détournée par une source malveillante ? Que conseilleriez-vous à une collectivité locale qui veut promouvoir l’outil numérique ?

Oui, bien sûr, ces technologies sont viables ! Hors de question de revenir à la Préhistoire. Quant au détournement par une source malveillante, ce danger est à prendre avec le plus grand sérieux, bien entendu. Il faut mettre en œuvre une démarche professionnelle de prise en compte de la sécurité, comme l’impose le RGS.

Cyber-3Un site « plaquette », basique, où l’on présente seulement des informations générales (horaires d’ouverture, adresse de la mairie…), ne requiert pas de mécanisme poussé de sécurité. En revanche, dès lors qu’un site devient « transactionnel », avec des services interactifs en ligne et une collecte de données personnelles, de forts enjeux de sécurité apparaissent. Ce type de site doit être réalisé avec professionnalisme. Les entités publiques doivent investir correctement dans l’outil informatique, sous peine d’être très vite dépassées et de voir leurs données (et celles de leurs administrés) piratées par les cyber-agresseurs mentionnés ci-dessus.

Ainsi, il faut impérativement appliquer le RGS pour développer les différents services en ligne et veiller aussi au respect des exigences « informatiques et liberté » portant sur les données personnelles. Ces deux références jouent sur des tableaux différents, l’une étant tournée vers le juridique et l’autre vers la pratique, mais utilisées en plein complémentarité, elles permettent une nette diminution du risque sécuritaire. Sans pour autant le supprimer totalement, malheureusement.

Je recommande également la sensibilisation du personnel aux questions de sécurité, car un point faible de tout système de sécurité, aussi développé et impénétrable soit-il, reste l’homme. Des campagnes de sensibilisation qui peuvent prendre plusieurs formes : une formation d’une à deux heures tous les ans, des affiches, des articles périodiques, etc. Une sensibilisation légère mais régulière.

Pour les collectivités importantes, il est nécessaire de disposer d’un responsable des questions de sécurité des systèmes d’information, pas nécessairement un spécialiste avec cinq ans d’études dans le domaine, mais une personne correctement formée, qui connaîtrait les aspects aussi bien techniques que juridiques de la question. Il serait ainsi responsable des campagnes de sensibilisation, du conseil aux projets informatique, se tiendrait informé des différentes réglementations et pourrait également être chargé des questions « informatique et liberté ».

Une autre recommandation est de toujours tester et vérifier la sécurité, par exemple en faisant réaliser des tests nommés « pentests » (pour « penetration testing »), où des prestataires chargent des professionnels de la sécurité, naturellement sous contrat avec l’entreprise, d’essayer de pénétrer les systèmes pour vérifier la solidité des barrières. Ces hackers éthiques font ensuite rapport sur la viabilité de la sécurité et le client peut alors améliorer ce qui est déjà mis en place.

Enfin, j’aimerais terminer en rappelant que le plus important dans l’organisation de la sécurité reste de s’assurer qu’un responsable compétent est bien identifié et dispose des moyens d’exercer sa mission.

Pour en savoir plus sur le RGS et la CNIL, cliquez sur les liens suivants : http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/ http://www.cnil.fr/

Share Button