Le Risk Management doit s’appliquer à la sécurité informatique

Pratique
Par Adele Folletti · 02/07/2015

Il ne se passe pas une semaine sans qu’une cyber-attaque d’envergure ne fasse la Une des journaux : des attaques visant la Maison-Blanche et le Parlement allemand viennent d’être révélées ; en avril, la chaîne de télévision TV5 a été victime d’une cyber-attaque spectaculaire…

Ces attaques révèlent la fragilité d’infrastructures qu’on croyait inviolables et la nécessité de se prémunir contre cette forme de criminalité. Or, la sécurité informatique ne fait généralement pas partie des premières préoccupations des entreprises, quelle que soit leur activité. Elle est souvent reléguée à une ‘question technique’, de la responsabilité de l’ICT, alors qu’elle devrait faire partie intégrante de la stratégie globale de l’entreprise.

822 cyber-attaques par mois

Selon un rapport établi par CERT.be (la cyber emergency team fédérale), les entreprises ont fait l’objet de 822 cyber-attaques par mois en 2014. L’une des stratégies des hackers est en effet d’attaquer un maximum de cibles, sans cesse, et de voir ce qui ‘passe’. Très éprouvantes pour les pare-feux et autres systèmes de défense, ces attaques accaparent l’attention des spécialistes informatiques des entreprises, tout en ne trouvant que peu d’écho du côté des directions générales.

En effet, la sécurité informatique est supposée ‘aller de soi’ ; elle est sensée exister et fonctionner. Ajouter un appareil au parc informatique, activer un nouveau téléphone, recevoir et télécharger un dossier compressé, équiper son bâtiment en domotique… Toutes ces actions sont étroitement liées à la sécurité mais, dans la pratique, personne ne se pose de question.

Souvent, lorsque les entreprises prennent des décisions ou lancent par exemple un nouveau service, elles cherchent d’abord à le faire fonctionner. La sécurité n’est pratiquement jamais incluse dans les réflexions de départ. Et, dans la majorité des cas, il est rare qu’une réelle stratégie de sécurité soit déployée par la suite — les problèmes sont généralement traités au cas par cas lorsqu’ils se présentent, ou des solutions globales sont appliquées, même si elles ne sont pas toujours les plus efficaces.

Résultat? Des responsables IT qui se sentent parfois démunis. Des cyber-attaques répétées qui parfois aboutissent et créent d’autres problèmes. Des investissements réalisés dans l’urgence… Au final, beaucoup d’argent et d’énergie dépensés.

Le Risk Management appliqué à la sécurité informatique

En alignant la stratégie globale avec l’IT, beaucoup d’écueils peuvent être évités. L’approche ‘Risk management’ nous semble la plus efficace. Concrètement, il s’agit d’évaluer les risques encourus pour chaque action, chaque décision, chaque nouveau lancement, etc., de déterminer si cela vaut réellement la peine de s’en prémunir et comment réagir si la situation se présente.

Prenons l’exemple d’un site d’e-commerce. D’une part, il y a — entre autres choses — les risques de fraudes et de hacking des numéros de cartes de crédit. D’autre part, des utilisateurs de plus en plus impatients et qui risquent de ne pas conclure la transaction si le processus de validation d’achat est trop long.

La plupart des plates-formes d’e-commerce considèrent qu’elles ont plus à perdre si les clients quittent le site sans effectuer d’achat et simplifient les étapes de validation des transactions, parfois au détriment de la sécurité.

Et si une faille se produit ? Elles ont calculé que les pertes engendrées par des usagers qui quittent le site sans achat sont supérieures aux indemnités qu’elles devraient verser en cas de piratage…

Le Risk Management appliqué à la sécurité informatique permet dès lors de mieux répartir ses investissements. L’entreprise peut ainsi mieux cibler ses efforts en matière de sécurité — c’est-à-dire protéger le mieux possible le(s) point(s) le(s) plus vulnérable(s), avec les solutions les plus adéquates, plutôt que d’appliquer une solution généraliste à l’ensemble du système sans tenir compte des spécificités ou, pire encore, ‘gaspiller’ ses ressources limitées pour protéger des points moins cruciaux, faute d’analyse correcte).

L’approche Risk Management permet en outre à la société d’anticiper les mesures à prendre si une attaque atteint son but sur l’un des points sciemment moins bien protégé. Plus elle est prête en amont, plus l’entreprise pourra réagir rapidement et limiter les dégâts d’une cyber-attaque sur son activité. Par ailleurs, toutes les attaques ne sont pas identiques, chaque situation est différente.

Par exemple, plutôt que de continuer à installer des pare-feux coûteux et inefficaces par rapport aux attaques dont elle faisait l’objet, une société a décidé de relancer complètement son site à chaque intrusion. Le hacker pensait donc avoir réussi à pénétrer dans le système, alors que ce dernier était déjà obsolète après quelques secondes. Moralité: il vaut parfois mieux laisser entrer et réagir de façon efficace et créative, plutôt que d’empêcher les intrusions.

En alignant le business avec l’IT, la société réalise, à terme, des économies, dispose, en cas de cyber-attaques, de scénarios de répliques cohérents et plus rapides, et protège ses points les plus vulnérables par des protections sur mesure.

En conclusion: les entreprises ont tout à gagner à inclure l’IT, et la sécurité de l’information en général, dans leurs réflexions stratégiques et à ne plus considérer la sécurité comme un problème purement technique et allant de soi.

Adele Folletti

Practice Director for Information Security & Risk Management

Trasys