La crise sanitaire, les confinements successifs et la généralisation du télétravail sur du temps long ont représenté un défi majeur pour les entreprises en matière de sécurité numérique. Les plans de transformations stratégiques prévus sur des cycles de 5 à 7 ans ont dû être revus à la hâte pour être bouclés en quelques mois seulement. Cette course en avant, déjà très commentée, a eu pour conséquence d’accentuer considérablement l’exposition aux cyber-risques. À ce titre, l’augmentation de 600% des attaques d’hameçonnage au premier semestre 2020 parle d’elle-même ainsi que le nombre d’attaques par rançongiciels multipliés par 4 en France depuis un an.
Alors que nous avions déjà constaté que les efforts d’investissements en cybersécurité n’étaient pas toujours parfaitement efficaces, cette concentration nouvelle des menaces, cette cyber-épidémie, implique de repenser en profondeur l’approche défensive et offensive par rapport aux menaces. Je considère qu’il faut privilégier une réponse systémique à l’échelle des organisations et des écosystèmes partenaires. C’est la seule solution pour permettre à chacun des collaborateurs et des clients d’évoluer dans un environnement de travail serein et sécurisé, en télétravail ou en mode hybride présentiel/distanciel.
Cette nouvelle cyber-résilience doit s’appuyer selon moi sur deux piliers : en défense, il s’agit de faciliter l’usage par les hommes des outils de sécurité et de restructurer le système d’informations pour le protéger dans un contexte plus ouvert. En mode offensif, il faut également développer le recours aux jumeaux numériques, qui simplifient la mise à l’échelle et la coopération au sein de l’organisation.
- Simplifier les usages sécurisés
Le premier levier sur lequel il faut agir demeure, et c’est un invariant dans le domaine de la cybersécurité, le facteur humain. Le chiffre varie selon les études, mais on peut estimer qu’une erreur humaine est à l’origine de 80% (pour Kaspersky) à 85 % (selon Proofpoint) des cyberattaques. C’est considérable, d’autant que de nombreux programmes de sensibilisation des collaborateurs aux bonnes pratiques cyber ont été lancés ces dernières années dans les organisations, car la simple interaction avec un PC peut créer une faille. Mais il ne suffit pas de savoir qu’il faut complexifier son mot de passe tous les trois mots à grands renforts de caractères spéciaux. Encore faut-il le mettre en pratique, de manière régulière et pérenne, ce qui pose un autre type de problème. De la même manière que les gouvernements ont pu constater un relâchement général dans l’application des gestes barrières anti-Covid, les « cyber gestes barrières » génèrent une certaine forme de lassitude. Pour contourner ce biais, la réponse ne doit pas être que dans la formation des collaborateurs, mais également dans la conception même des mécanismes de défense cyber : il faut simplifier l’usage, notamment des accès sécurisés, de la même manière que la reconnaissance faciale ou oculaire suffit à déverrouiller un smartphone. Bref, ne pas rajouter de nouvelles règles de sécurité, mais les simplifier pour s’assurer leur respect par tous.
- Repenser une architecture informatique en mode “aéroport”
Faciliter l’usage des collaborateurs ne suffit pas. Il faut également repenser entièrement l’architecture de son système d’information pour l’adapter à un écosystème informatique plus vaste et plus interconnecté que jamais. 40% des failles viennent de notre écosystème, notamment via des partenaires peut-être moins sécurisés. Alors que la plateformisation de l’économie s’accentue, il faut savoir se positionner sur son architecture pour sécuriser ce qui doit l’être. Et le faire vite, car le temps presse. Cela implique de micro segmenter l’approche : parmi toutes ses données et applicatifs, il faut évaluer ce qui est le plus précieux. Avec des implications précises : s’il est impossible d’empêcher un indélicat de s’infiltrer dans son système, comment faire en sorte qu’il se perde et reparte sans avoir atteint le cœur le plus sensible du système ? Cette réflexion stratégique sur le système d’information est indispensable pour remettre à l’échelle la sécurité du SI, et d’en différencier l’approche à plusieurs niveaux.
- Adopter une position offensive grâce aux jumeaux numériques
Pour définir le meilleur niveau de sécurité sur chaque layer du SI, les jumeaux numériques sont un bon allié pour adopter une posture offensive face au risque. Il ne s’agit plus de se défendre face à une attaque, mais de faire de la prévention.
Le jumeau digital permet de simuler un environnement virtuel qui reproduit fidèlement le système d’information et les impacts business d’une éventuelle attaque en temps réel. Comme l’indique notre dernier rapport #SecurityTechVision2021, un jumeau digital indique les chemins possibles que pourraient prendre les assaillants et permet de prioriser les efforts, asset par asset. La technologie existe et certains acteurs la maîtrisent et en ont pleinement conscience. Pour preuve 85% des responsables de la sécurité s'accordent à dire que l'IA combinée aux jumeaux numériques permettra à leur organisation de renforcer les défenses et la connaissance de la situation. Mais encore faut-il pouvoir la mettre à l’échelle. Les investissements correspondants sont presque dérisoires par rapport aux menaces de paralysie du système ou de mise en en danger du noyau stratégique de l’organisation !
Luc Tentillier – Managing Director, Accenture
