La cybersécurité, un enjeu économique essentiel pour les entreprises

À l’heure où la majorité des entreprises accélèrent leur transformation numérique, la détection et les réponses apportées aux cybermenaces deviennent un sujet majeur. Entretien avec Théodore-Michel Vrangos, cofondateur et CEO de la société française de services en cybersécurité I-TRACING Group.

On observe depuis plusieurs années une recrudescence des cyberattaques, à quoi est lié ce phénomène ?

Cela s’explique en grande partie par l’évolution numérique impactant la société et que l’on observe dans tous les secteurs d’activité. Le confinement a bien évidemment joué un rôle de catalyseur dans le déploiement de cette tendance avec notamment la démocratisation du télétravail. Mécaniquement, le développement des activités digitales des entreprises et des utilisateurs de manière plus générale, a entraîné une explosion de la surface d’attaque potentielle et donc des points d’entrée possibles pour les pirates.

Auparavant, les entreprises disposaient de leur propre data center, avec une porte d’accès sécurisée, pour héberger des applications et des données stratégiques. Ce n’est plus le cas aujourd’hui. Les données sont externalisées et le cloud, interface entre la société traditionnelle et le monde virtuel, a supprimé cette dimension physique ouvrant l’accessibilité en mobilité à l’ensemble des systèmes d’information. Les applications core-business comme Salesforce, ou Office365, sont elles aussi hébergées dans le cloud.

C’est donc un esprit d’ouverture fort qui caractérise cette migration numérique, en rendant accessibles toujours plus d’informations pour les utilisateurs (données bancaires, personnelles, médicales…). Inéluctablement, ces nouveaux usages entraînent des vulnérabilités et celles-ci sont rapidement exploitées. Par conséquent, les entreprises deviennent de plus en plus sensibles aux perturbations affectant leur système d’information.

Concrètement comment ces menaces se matérialisent-elles ?

Dans la majorité des cas, les utilisateurs sont impliqués dans la chaîne d’attaque et constituent le point d’entrée principal dans les intrusions au sein du système informatique de l'entreprise. Il devient donc essentiel de former et sensibiliser les employés d’une entreprise à ces menaces ainsi qu’aux risques encourus.

En naviguant sur un site, cliquant sur un lien, ou en ouvrant une pièce jointe dans un email, ils peuvent charger un logiciel malveillant sur l’ordinateur qui va potentiellement collecter, détruire ou exposer les données ou paralyser l’activité en bloquant l’accès aux équipements. Dans le cas d’un rançongiciel ou ransomware, qui constitue la typologie d’attaque la plus fréquente, l’accès est débloqué ou les informations restituées en échange d’une somme d’argent. Il ne faut toutefois pas céder au chantage, avoir des sauvegardes à jour, tester régulièrement, car souvent l’entreprise victime subit une double peine : perte d’activité et paiement sans récupération des données.

Parallèlement, comment évolue le marché de la cybersécurité ?

C’est un marché en pleine expansion qui a fait un bond énorme ces cinq dernières années. Le phénomène de digitalisation et la recrudescence des attaques imposent aux acteurs d’établir des dispositifs adéquats afin d’offrir un niveau de sécurité suffisant pour protéger leurs systèmes d’information et leurs utilisateurs. Aujourd’hui les grandes entreprises et ETI allouent entre 10% et 15% de leur budget IT à la cybersécurité, et augmentent aussi les effectifs dédiés à ces sujets. C’est un budget considérable mais qui reste relativement modéré au regard des coûts que peut engendrer une cyberattaque. Finalement, les acteurs ont pris conscience qu’il s’agit pour eux d’un véritable enjeu de survie.

Comment intégrer la cybersécurité au sein de la stratégie de l’entreprise ?

Il est essentiel d’identifier les risques encourus, d’en coordonner la couverture globale, et d’assurer une veille continue pour anticiper les nouvelles menaces. On retrouve deux grandes catégories d’acteurs externes auxquels on peut recourir pour implémenter cette stratégie. D’une part les éditeurs et constructeurs de solutions qui conçoivent les logiciels et les outils de protection et d’autre part les sociétés d'ingénierie qui vont déployer ces solutions, les adapter au contexte de l'entreprise, de ses applications, de ses clients et de ses utilisateurs.

Mais le déploiement de ces solutions n’est pas suffisant, car les systèmes d’informations sont « vivants » au sens où ils évoluent constamment, il faut donc les adapter en permanence pour les maintenir en conditions opérationnelles. Il est également crucial de pouvoir surveiller ce que l’on appelle les signaux faibles, à savoir des traces suspectes comme une suite de petits incidents ou d’actions anormales mais bénignes, par exemple des tentatives de connexion répétées à une application, la connexion d’un utilisateur au même moment à partir de deux lieux physiques différents (bureau et domicile-télétravail), etc. En les analysant, les interprétant et en les comparant à des sources d’attaques et de comportement qui ont déjà pu être identifiés dans le monde, nous allons pouvoir détecter des menaces potentielles. Si besoin, nous allons les bloquer et les isoler dans le but de contenir l’attaque à une zone afin que celle-ci ne se propage pas à l’ensemble du système d’information. Il apparaît donc essentiel pour les entreprises d’adapter aujourd’hui cette posture d’anticipation.

À quoi ressembleront les attaques de demain ?

Les menaces d'aujourd'hui correspondent à une sophistication de ce que l'on a vécu il y a 5 ou 10 ans. De mon point de vue, nous allons certainement assister à de plus en plus d’attaques sur smartphone mais aussi visant la sphère privée des gens. Par exemple, pour atteindre un entrepreneur, on va plutôt s’attaquer à ses enfants sur des réseaux sociaux comme Instagram, Facebook ou Snapchat. Ils sont souvent connectés à ces réseaux via des boîtes mails faciles à identifier, et, une fois ces comptes piratés, beaucoup d’informations personnelles comme des photos peuvent être récupérées. Le principe reste le même, le pirate va ensuite demander une rançon en l’échange de la non-divulgation de ces informations. C’est une typologie de comportement que l’on retrouve de plus en plus.

Une autre typologie de menaces que l’on observe de plus en plus, ce sont les attaques à destination des grands groupes via leur sous-traitant, fournisseur ou avocat par exemple. Dans ce cas, le principe de la manœuvre consiste à atteindre les acteurs PME de niveau n-1 ou n-2, avec des investissements bien moindres en termes de cybersécurité, pour ensuite rebondir sur la cible finale. Des cas concrets se sont produits en France et en Europe ces dernières années, dont un très médiatisé a concerné un sous-traitant high-tech de rang 1 d’un important fabricant aéronautique Européen.