Cyber résilience : comment atteindre le graal dans un monde instable ?

Le défi est de taille : avec des attaquants aux moyens exponentiels, mieux structurés et organisés, aux modes opératoires sans cesse renouvelés, les attaques sont chaque jour plus rapides et agressives. Sous pression, les RSSI savent que la cyber-résilience n’est plus une option. Défi technique aux impacts business et réputationnels majeurs, elle peut aussi être créatrice de valeur dans l’entreprise si l’enjeu est apprécié à sa juste mesure. Il s’agit donc de convaincre les instances dirigeantes que la cybersécurité est un enjeu stratégique pour les organisations, et de doter les RSSI des ressources humaines et techniques nécessaires pour assurer cette cyber-résilience.

Un paysage des menaces en constante évolution

Le Data Breach Investigations Report de Verizon analyse cette année non moins de 30 000 incidents de cybersécurité et 10 000 compromissions de données, contre 16 000 et 6 000 respectivement en 2023. Une croissance liée certes à l’augmentation du nombre de contributeurs et du volume de données partagées, mais qui traduit aussi une nette hausse du nombre d’incidents et compromissions dans le monde. Un constat partagé par les RSSI, qui confient que les attaques atteignent de nouveaux sommets en 2024 après une légère accalmie en 2023. Des attaques aussi bien ciblées qu’opportunistes, mais avec toujours des motivations principalement financières. 2024 se distingue notamment par une explosion des ransomware, avec + 200% d’augmentation selon les observations de Microsoft¹, ciblant majoritairement les plus petites organisations, moins matures et moins solides (PME, collectivités, hôpitaux…). L’espionnage industriel inquiète également les RSSI, à différents degrés selon leurs secteurs d’activités et des enjeux économiques et industriels qu’ils représentent. Le contexte (géo)politique tendu fait quant à lui craindre des opérations de déstabilisation, même pour les entreprises peu connues à l’international mais très implantées au niveau local. Elles redoutent d’être victimes collatérales de campagnes visant à déstabiliser le tissu économique national.

Également dans le radar des RSSI : des attaques indirectes visant leurs sous-traitants ou partenaires, très souvent des PME ou des ETI dont la maturité et les budgets dédiés à la cybersécurité sont encore insuffisants. « Ce que nous redoutons le plus, c’est l’effet domino par lequel une PME fait tomber une ETI, qui elle-même fait tomber un grand groupe, etc. » confie Fabrice Bru, directeur cybersécurité du groupe STIME. Face à ces tiers trop souvent démunis en cas d’incident ou d’attaque « nous avons un rôle important à jouer auprès de l’écosystème de fournisseurs en termes de protection, de conseil, de montée en maturité. » souligne Cyril Haziza, RSSI du groupe Kering. Y compris dans certains cas, mettre à leur disposition leurs propres ressources de gestion de crise ou aider ces tiers dans une réponse à incident. Un rôle consacré par les règlementations européennes comme NIS 2, DORA ou le Cyber Resilience Act, qui vont imposer aux entreprises et à leurs dirigeants de nouvelles contraintes et de nouvelles responsabilité vis-à-vis de ces écosystèmes. NIS 2 introduit notamment la responsabilité des organes de direction et un renforcement des sanctions encourues en cas de manquement à ces obligations. Un vrai défi de mise en conformité et de mise à niveau pour tous…

Combiner la technologie et l’intelligence humaine

Pour faire face dans cet environnement instable, les entreprises mettent en place en moyenne 15,6 solutions ou services de cybersécurité, indique le baromètre 2024 du CESIN, en priorité des pare-feux, des EDR ou l’authentification multi-facteurs. « C’est une architecture à mettre en place, à la fois physique et dans les process de l’organisation. C’est un vrai challenge que les plus grandes entreprises ont plus souvent la capacité de relever même avec des budgets limités, mais cela peut devenir une vraie difficulté pour les plus petites, surtout quand elles seront soumises à une réglementation et qu’elles seront obligées de monter en capacités. Un enjeu structurant pour les années à venir. » assure Marc Chousterman, Principal Cybersecurity Architect chez Verizon. Rien ne sert pourtant d’empiler les outils et les technologies : « L’enjeu est celui de la continuité de service et d’activité » rappelle Fabrice Bru et de poursuivre « Il faut prévenir et détecter en identifiant les risques majeurs pour l’entreprise. » et en ciblant précisément les outils permettant de les adresser. Un constat partagé par Cyril Haziza : face à des menaces à la fois plus nombreuses et plus rapides « on ne peut plus se contenter d’uniquement protéger les SI, les technologies, les processus métiers : il faut se donner les moyens de détecter et réagir efficacement. Ce avec des dispositifs et des outils à l’état de l’art permettant de maîtriser la situation et d’y remédier rapidement. »

L’automatisation peut contribuer à rendre les réponses plus rapides et plus efficaces, notamment pour les entreprises qui sont de plus en plus nombreuses à adopter le cloud public. De même, les progrès de l’IA permettront de traiter des volumes de données toujours plus importants de façon toujours plus efficiente. Même avant l’IA générative « Le machine learning permet déjà de gérer des incidents qui perturbent l’activité mais qui sont faciles à résoudre, et qui monopolisent des ressources qui pourraient être déployées sur des actions à plus forte valeur ajoutée. » témoigne Fabrice Bru et de poursuivre : « Mais c’est bien l’intelligence humaine qui permettra de faire la différence ! » « Sans ressources et sans compétences humaines, la technologie ne sert à rien. » insiste en effet Cyril Haziza et de compléter : « La réaction n’est pas qu’une histoire de technologie. Dans le cas du phishing par exemple, le reporting est essentiel pour réagir rapidement, et de fait nos collaborateurs sont aussi des agents de détection. Sans compter qu’avec l’IA les phishing sont plus sophistiqués et les deepfakes sont amenés à se multiplier, ce qui nécessitera d’aiguiser notre sens critique. » Un constat sur le rôle central de l’humain qui appelle aussi à renforcer et formaliser les dispositifs et mécanismes de formation des collaborateurs pour leur permettre d’être performants et pertinents dans des fonctions en permanente mutation. Peut-être en développant les référentiels comme ceux de l’ENISA pour les CSIRT, qui prévoient des plans de formation adaptés permettant à la fois de couvrir l’ensemble des profils nécessaires et de développer les compétences des collaborateurs.

Une cybersécurité mieux reconnue mais insuffisamment financée

L’enjeu pour les RSSI est aussi de faire reconnaître la cybersécurité comme un enjeu stratégique par les instances dirigeantes de leur organisation. Si dans les grandes entreprises elle est désormais de mieux en mieux reconnue comme une priorité dans les cartographies des risques, c’est encore trop rarement le cas dans les plus petites qui doivent convaincre leurs dirigeants. Pour rendre audible la cybersécurité au plus haut niveau de l’entreprise : « Il faut adapter les discours : on ne peut pas parler ̎cyber ̎, ou ̎IT ̎ mais ̎business ̎, et démontrer que la cyber impacte le business et qu’elle peut contribuer à assurer la continuité d’activité. » explique Fabrice Bru et de détailler : « devant le comex, on ne parle pas de ̎technologies ̎ et ̎d’outils ̎, mais de ̎moyens ̎ ou de ̎mécanismes d’amélioration continue des activités métier ̎». Un exercice qui suppose aussi « la mise à niveau de tous : il faut que les décideurs aient un minimum de connaissance des technologies ou de la cybersécurité, et que les directeurs cybersécurité aient un discours intelligible » résume Cyril Haziza.

Parvenir à faire reconnaître la cybersécurité comme un risque à maîtriser ne suffit pas toutefois pour allouer aux RSSI les budgets qui leur permettraient de se doter des moyens et ressources dont ils ont besoin. « Même reconnue comme une priorité, la cybersécurité reste un risque parmi beaucoup d’autres qui n’échappe pas à une gestion des priorités, et il faut parfois attendre que la menace se concrétise pour que certains budgets soient débloqués. » souligne Cyril Haziza. Si l’ANSSI préconise aux entreprises de consacrer au minimum 5 % de leur budget IT à la cybersécurité² , en 2023 seules 45 % des organisations ont suivi ce conseil selon le CESIN³. Un pourcentage encore trop faible au regard de la professionnalisation des attaques et des modes opératoires toujours plus ingénieux…  

1^ How Microsoft Copilot for Security helps defend against human-operated ransomware attacks | Microsoft Security Blog

2^ Les enjeux de la cybersécurité 2024 (visiativ.com)

3^ 9ème édition du baromètre annuel du CESIN