La donnée est l’une des principales ressources économiques dans le monde actuellement. Le développement des nouvelles technologies n’y est pas étranger et pousse les cybercriminels à ruser toujours plus pour obtenir de l’argent, nuire aux entreprises ou aux États. Face à l’évolution croissante des cybermenaces, elle se doit d’être protégée et exploitée au sein d’un système qui offre toutes les garanties organisationnelles et techniques. Entretien avec Aurélien Mangin, Information Security Officer chez EBRC.

Aurélien Mangin, Information Security Officer, EBRC.
Aurélien Mangin, Information Security Officer, EBRC.

Les cybermenaces évoluent constamment. Quelles ont été les plus dangereuses récemment ?

Fin 2020, des pirates ont réussi à infiltrer le système d’information de quelque 18.000 entreprises qui utilisaient le même logiciel de supervision réseau, dont certaines versions contenaient une porte dérobée (backdoor). Entre vols d’informations et destructions de données sensibles, les impacts ont été importants. En décembre 2021, la faille Log4Shell contenue dans la librairie Apache Log4j (système de journalisation d’événements) a été détectée dans des millions d’applications Java. Elle a permis à des attaquants d’exécuter du code arbitraire à distance, sans authentification. L’impact a également été énorme. Tout récemment, la guerre entre la Russie et l’Ukraine a donné lieu à une recrudescence du nombre de cyberattaques telles qu’attaques par déni de service, ransomwares, wiper, un type de virus qui a été remis au goût du jour et qui a pour seul objectif de détruire purement et simplement toutes les données présentes dans un système.

Comment s’en protéger ?

Parmi les bonnes pratiques, je dirais tout d’abord qu’il faut renforcer les mécanismes d’accès aux systèmes : l’authentification, notamment via des mots de passe longs et complexes, associés à un second facteur (par exemple un token qui donne un code unique…) et renforcer la gestion des identités et des accès. Mais aussi d’autres mesures comme par exemple la mise en place de règles de supervision et de détection, celles-ci permettant d’avoir des alertes en temps réel sur des événements et comportements anormaux ; envisager des sauvegardes hors ligne des applications et systèmes critiques ; mettre en place un plan de gestion de crise afin d’assurer la continuité des activités et le retour à la normale. Mais évidemment, les mesures de sécurité à mettre en place ne se limitent pas qu’à cela.

La sécurité ne s’improvise pas. Si vous n’aviez qu’un seul conseil à donner aux entreprises, quel serait-il ?

Je dirais l’utilisation d’un framework sécurisé car il permet de suivre un cadre standardisé, dans une optique d’amélioration continue. Le but est d’avoir une approche à la fois flexible, performante et mesurable, en implémentant des contrôles de sécurité permettant d’adresser ses risques. On peut citer les normes ISO, et notamment l’ISO 27001 pour la mise en place d’un système de management de la sécurité de l’information, le NIST (National Institue of Standards and Technology) Cybersecurity framework, le CIS Controls (Center for Internet Security)… Ces différents frameworks proposent un ensemble de directives qui aident à gérer efficacement la sécurité du système d’information, car ils offrent un cadre, qui représente un gage de bonnes pratiques à l’entreprise, qu’elle soit certifiée ou pas.

« L’être humain est loin d’être infaillible et il est souvent le maillon faible dans le dispositif. La fréquence des erreurs d’origine humaine reste élevée et leur impact dans notre monde technologique hyperconnecté peut déclencher un incident rapidement critique pour l’entreprise. Comme c’est aussi l’être humain qui met en place les processus et les contrôles, il est donc nécessaire de les tester et de les mettre à jour très régulièrement dans un processus d’amélioration continue et, dans la mesure du possible, de mettre en place des mécanismes pour réduire au maximum les risques d’origine humaine. »

L’évaluation continue est donc la meilleure approche à adopter ?

En effet, pour connaître ses faiblesses, il est important d’évaluer la sécurité de son système d’information de manière continue. Par exemple, en effectuant régulièrement des scans de vulnérabilité et des tests d’intrusion. Ces tests permettent de mettre en avant des failles permettant notamment de rentrer sur les infrastructures informatiques et de savoir quels correctifs appliquer pour réduire tout risque cyber. Mesurer l’efficacité des contrôles de sécurité en place avec des KPI (Key Performance Indicators) permet au management de l’entreprise d’identifier les domaines où des actions sont requises. Enfin, il est indispensable de réaliser des audits régulièrement, internes ou externes, car ceux-ci permettent non seulement d’évaluer notre maturité avec un point de vue extérieur, mais permettent également d’avoir une vue globale sur la sécurité de l’entreprise.

Quelle importance doit-on accorder aujourd’hui à la donnée privée ?

Le RGPD (Règlement Général pour la Protection des Données) a permis de rendre aux citoyens – européens exclusivement pour le moment – le contrôle sur leurs données à caractère personnel, surtout sur leurs données sensibles comme celles relatives à la santé, aux orientations religieuses, politiques, sexuelles… L’obligation de désigner un délégué à la protection des données (DPO), qui doit être une personne compétente, indépendante et rattachée au plus haut niveau de la hiérarchie de l’entreprise, permet de veiller à ce qu’aucune dérive ne passe entre les mailles du filet. Son rôle est de sensibiliser les employés aux enjeux de la protection des données personnelles, d’être à l’écoute des personnes physiques et répondre à leurs requêtes endéans le mois qui suit, de mettre en place des équipes dédiées et des contrôles adaptés pour assurer la sécurité des données personnelles, enfin de gérer les incidents en cas de fuite de celles-ci… On voit aujourd’hui d’autres pays hors Union européenne implémenter des cadres semblables au RGPD.

« Parmi les bonnes pratiques, je dirais tout d’abord qu’il faut renforcer les mécanismes d’accès aux systèmes : l’authentification, notamment via des mots de passe longs et complexes, associés à un second facteur (par exemple un token qui donne un code unique…) et renforcer la gestion des identités et des accès. »

Au final, l’humain est-il le maillon faible ?

Incontestablement, car l’être humain est loin d’être infaillible et il est souvent le maillon faible dans le dispositif. La fréquence des erreurs d’origine humaine reste élevée et leur impact dans notre monde technologique hyperconnecté peut déclencher un incident rapidement critique pour l’entreprise. Comme c’est aussi l’être humain qui met en place les processus et les contrôles, il est donc nécessaire de les tester et de les mettre à jour très régulièrement dans un processus d’amélioration continue et, dans la mesure du possible, de mettre en place des mécanismes pour réduire au maximum les risques d’origine humaine. L’ingénierie sociale, l’appâtage (baiting), l’hameçonnage (phishing) sont les attaques les plus répandues aujourd’hui et qui visent en premier lieu les personnes physiques. Il est donc impératif de rappeler régulièrement au sein de l’organisation les bonnes pratiques en termes de cybersécurité. À titre d’exemple chez EBRC, nous le faisons via des sessions de sensibilisation, via notre plateforme d’apprentissage en ligne et via des exercices de simulation. Mais il existe aussi d’autres moyens de sensibilisation tels que des serious games… Former et impliquer tous les collaborateurs dans la gestion de la sécurité de l’entreprise réduit drastiquement les risques de cyberattaques. La sensibilisation des collaborateurs reste donc l’une des clés que toute entreprise ne doit pas hésiter à utiliser, voire à surutiliser !

Propos recueillis par Isabelle Couset