CommenT Gérer Le phénomène De LA Cyber
Les auteurs de
cyber
-attaques sont souvent des
organisations criminelles sophistiquées, disposant de
ressources importantes. Avec la numérisation des activités
de l’entreprise au sens large, il est aujourd’hui essentiel
que chaque organisation appréhende cette menace
de manière très sérieuse, car ce type de délit pourrait
continuer d’augmenter, tant en fréquence qu’en ampleur,
explique Jocelyn Grignon, Directeur de la ligne de services
audit IT et sécurité de Grant Thornton. La vigilance ne
suffit plus à assurer la sécurité IT des entreprises et des
mesures proactives sont devenues nécessaires. Cet enjeu
doit devenir de toute urgence un point d’orgue au sein
des conseils d’administration et services informatique de
chaque société.
COMMENT GÉRER LE PHÉNOMÈNE DE LA
CYBER
SÉCURITÉ ?
AGIR MAINTENANT, AVANT QU’IL NE SOIT TROP TARD
La finance, cible n°1
des
cyber
-attaques
1€ pour se défendre,
4€ pour réparer
L’
International Business Report
(
IBR
) de Grant Thornton est un sondage annuel réalisé auprès de dirigeants d’entreprises
(2500 capitaines d’industries dans 35 secteurs économiques). Ce sondage révèle qu’au cours des 12 derniers mois, plus de 15
% des entreprises à travers le monde ont subi une
cyber
-attaque, pour un coût total de plus de 300 Md$. Même si aucune région
dans le monde n’est réellement épargnée, les organisations d’Amérique du Nord et d’Europe sont les plus ciblées. Sur ces deux
continents, la part des entreprises piratées au cours de l’année écoulée atteint respectivement 18 et 19 %. Il ne sagit que du sommet
de l’
iceberg
et des coûts mesurables. Qu’en est-il de l’atteinte à la réputation et de la perte de confiance des clients qu’il faut ajouter
aux conséquences du phénomène ?
Nous estimons que les
cyber
-attaques coûtent en moyenne l’équivalent de
1,2 % du chiffre d’affaires des entreprises qui en sont les victimes.
Un
ratio
significatif qui, dans bien des secteurs, représente peu ou prou
le niveau de rentabilité nette des organisations. Les attaques visent avant
tout le secteur financier (74 % des entreprises se déclarent menacées),
le plus
«
alléchant » pour les pirates. 26 % des cyberattaques recensées
le prennent pour cible. À l’inverse, le secteur des transports est épargné,
avec seulement 1 entreprise sur 10 ciblée au cours des 12 derniers mois.
Malgré cet inquiétant constat, seules 52 % des entreprises interrogées
affirment avoir mis en place une politique de sécurité IT.
Les dommages les plus importants causés par le
cyber-
crime sont
toutefois localisés sur la zone Asie-Pacifique, où le montant total des
préjudices s’est élévé à 81,3 Md$. En Europe, les organisations ont laissé
plus de 62 Md$ (57 milliards d’euros) « sur la table » en raison des
cyber-
attaques dont elles ont été victimes (la somme est similaire en Amérique
du Nord).
Rappelons que, selon le Gartner, la dépense globale en
cyber
-sécurité a
atteint 77 Md$ en 2015. Le cabinet d’études s’attend à ce que ce montant
soit porté à 101 Md$ en 2018. Autrement dit, les entreprises subissent
quatre fois plus de dommages liés à des
cyber
-attaques, qu’elles ne
consacrent de budget à se protéger.
SEULES
52%
DES GRANDES ENTREPRISES
INTERNATIONALES ONT MIS
EN PLACE UNE POLITIQUE
DE
CYBER
SÉCURITÉ
Alexis GRIN
Associé, Directeur de la ligne de services
Audit et Sécurité des systèmes d’information
Grant Thornton France
LA CHAÎNE D’APPROVISIONNEMENT DU
CYBER
-CRIME EST TRÈS SOPHISTIQUÉE, PROFONDÉMENT IMPLANTÉE
DANS DES RÉSEAUX PARALLÈLES, AXÉE SUR LE COMMERCE ET FORTEMENT EXTERNALISÉE.
Les motivations de la
cyber
-criminalité
Les
cyber-
attaquants :
identité, motivation, tactiques
Les techniques d’attaque
Le gain financier est la principale motivation de la
cyber
-
criminalité, cependant d’autres raisons peuvent motiver les
cyber-
attaques.
Des pirates se revendiquant de l’organisation Etat Islamique (EI) ont
affiché des messages de propagande djihadistes sur les réseaux sociaux,
notamment la page Facebook et le compte Twitter de TV5 Monde.
Les sites Internet de la chaîne ont été détournés et la diffusion de l’attaque
au sein du réseau interne a eu pour conséquence une interruption des
programmes de télévision.
La récente divulgation par des «
hacktivitstes
» d’informations personnelles
des clients du site de relations extra conjugales Ashley Madison, répondait
à impératif moral.
En 2013, le groupe de
hackers Anonymous
avait attaqué les sites Web
de PayPal, Visa et Mastercard pour avoir suspendu les dons faits au site
Wikileaks
.
Un certain nombre de gouvernements ont été accusés de
sponsoriser
des attaques ciblant la propriété intellectuelle et les secrets industriels
des entreprises, dans le but d’obtenir un avantage concurrentiel dans une
économie mondialisée. Le vol de propriété intellectuelle existe aussi au
niveau des entreprises.
Les pirates attaquent également les entreprises dans le but de démontrer
leur faiblesse, et donc l’incapacité à pouvoir leur faire confiance. En Juillet
2015, Fiat Chrysler a été contraint de rappeler 1,4 millions de véhicules
à la suite de la mise en évidence d’une faille de sécurité du logiciel ayant
permis au moteur d’être désactivé à distance.
Le profil des
cyber
-attaquants (qui agissaient isolément), a évolué vers
une économie sousterraine motivée par le profit et pilotée par des
entités organisées, agiles, disposant de solides compétences et qui
opèrent généralement à l’échelle internationale. Cette situation complique
grandement la tâche des agences nationales de lutte contre le crime et
des tribunaux.
Ces entités utilisent de plus en plus des chaînes d’approvisionnement
parallèles pour développer, distribuer et déployer des logiciels malveillants
personnalisés, utilisés pour mener des attaques.
La nouvelle étude de Grant Thornton estime que l’impact des coûts
directs liés à la
cyber
-criminalité pour les entreprises est évalué à plus de
300 milliards de $ US par an au niveau mondial.
Bien que les techniques d’attaque varient, l’augmentation du
nombre d’incidents a permis aux observateurs avertis d’identifier
un modèle comportemental derrière les motivations, les tactiques
et la localisation de l’origine de l’attaque.
Les attaques originaires de Russie ciblent les informations financières
personnelles pouvant être revendues rapidement pour un gain financier
immédiat.
Les attaques provenant de Chine, ou des pays associés, ont tendance à
cibler la propriété intellectuelle détenue par un éventail d’organisations,
tels que les établissements d’enseignement ainsi que les entreprises du
secteur de la santé et de l’univers technologique.
Les attaquants «
Savvy
» utilisent la technologie pour masquer leur
emplacement, ou même voler l’identité d’un utilisateur local - un employé
au sein de l’organisation ciblée avec les droits de « super-utilisateur », par
exemple - pour lancer une offensive.
Le
Phishing
- l’utilisation de faux sites se faisant passer pour le « vrai » -
est une tactique populaire et utilisée depuis longtemps pour obtenir les
informations personnelles et financières de clients peu méfiants.
Les attaques par Déni de Service Distribué (DDoS) sont de plus en plus
répandues – avec pour objectif d’empêcher les sites de fonctionner
efficacement. Les attaques par déni de service peuvent aussi servir
de moyen de distraction et masquer une attaque plus ambitieuse, aux
conséquences plus graves.
TYPOLOGIES DES MOTIVATIONS
Gain inancier, croisade morale, vol de
propriété intellectuelle, révélation de failles
technologiques, blanchiment d’argent,
blocage des accès, ennui.
Lionel BENAO
Manager
Grant Thornton France
À quel point êtes-vous
vulnérables ?
Les
cyber
-attaques sont en
augmentation...
Les entreprises sont plus vulnérables aux
cyber
-attaques que ce
qu’elles imaginent, en particulier celles ayant des « empreintes
numériques » importantes (
Cloud Computing
, réseaux sociaux,
externalisation, BEYOD…).
L’heure de la demande de services portant sur la
cyber-
sécurité
et de la reconnaissance de l’importance des contrôles de
cyber-
sécurité est venue, et pour la plupart, dans l’industrie des services
financiers.
Cependant, d’autres secteurs qui sont de plus en plus axés sur la
technologie – commerce de détail, l’industrie et les médias, par
exemple – prennent désormais acte de cette situation.
Les
cyber-
criminels sont constamment à la recherche de faiblesses
dans la défense d’une entreprise (telles que l’absence de mécanismes
de supervision du niveau de sécurité de l’infrastructure informatique ou
le fait de ne pas avoir de gardes de sécurité à l’entrée de son site), et la
majorité des entreprises ont encore des efforts à fournir sur cet aspect
de surveillance du SI.
Les entreprises deviennent encore plus sensibles aux attaques à mesure
que leur empreinte numérique se développe pour intégrer leur chaîne
approvisionnement, y compris les prestataires et la sous-traitance.
Selon l’étude de Grant Thornton, plus d’une entreprise sur six a
fait face à une
cyber
-attaque durant les 12 derniers mois (15 %).
Les entreprises de l’Union Européenne (19 %) et d’Amérique du
Nord (18 %) étaient les plus fortement ciblées.
Les organisations de taille moyenne sont tout aussi vulnérables que les
grandes entreprises. Les attaquants vont étendre leurs actions aux quatre
coins du globe sans distinction de taille.
L’importance croissante de la technologie dans nos vies professionnelle
et personnelle va augmenter le risque d’exposition à la
cyber
-criminalité.
« L’Internet des objets », en particulier, qui reliera nos appareils de
communication, nos voitures et nos maisons, va offrir aux pirates de
nouveaux vecteurs d’intrusion.
Les vieilles avenues ne doivent cependant pas être oubliées. Les systèmes
de technologie classiques, qui sont plus susceptibles d’être mal protégés,
continueront aussi d’être exploités.
Nous pouvons sans aucun doute parler d’analogie avec la
fameuse face immergée de l’
iceberg
. Nous devons nous
attendre à une augmentation certaine du nombre de
cyber-
attaque dans un avenir proche, car de toute évidence, les
gains financiers frauduleux sont concrets et d’autre part les
cyber
-criminels innovent continuellement, afin d’exploiter
les faiblesses des organisations, des processus, des
infrastructures technologiques et des individus.
La majorité des entreprises n’ont pas la totale maîtrise de
ce qui se passe dans leur réseau informatique. Elles ne
seraient pas en mesure de détecter systématiquement une
activité suspecte ou d’évaluer cette activité grâce à des
systèmes sensibles au contexte et comportement.
Voilà l’une des faiblesses que je constate au sein des
entreprises françaises, c’est-à-dire de ne pas disposer
d’une capacité à détecter de manière systématique des
transactions frauduleuses. Une approche agile, souple et
résiliente mériterait d’être mise en œuvre.
Georges de MONTGOLFIER
Senior Manager
Grant Thornton France
Emilie CANDAS
Senior Manager
Grant Thornton France
Quels sont les défis et les problématiques des entreprises ?
En dépit de ces risques et vulnérabilités, notre étude a révélé étonnamment que 48 % des entreprises se mettent en difficulté, et ce par une absence de stratégie
globale qui devrait être implémentée et qui permettrait de prévenir des actes de
cyber-
criminalité.
De nombreuses organisations sous-estiment la valeur de leurs actifs qui justifieraient une
cyber-
attaque. La réponse des petites et moyennes entreprises est souvent
de plaider un manque de ressources. Mais le manque de sensibilisation de la direction à l’importance de la
cyber
-sécurité est la principale raison pour laquelle la
cyber
-criminalité n’est pas priorisée.
À mesure que les organisations renforcent leur présence
en ligne et interagissent avec leurs partenaires par le biais
de nouveaux outils connectés, dans un environnement de
confiance – où les données et les systèmes sont partagés,
par exemple – la surface d’attaque pour les pirates continue
d’augmenter.
La plupart des grandes organisations sont capables de
sécuriser leur réseau.
Mais, comme de plus en plus d’entre elles augmentent
leur utilisation de services externalisés, connectés et des
technologies tierces, les défis autour de la prévention, de la
détection des
cyber
-attaques et des infractions augmentent
également.
La
Cyber
-sécurité présente un risque élevé, mais je pense
que la façon de voir les choses est de considérer l’impact
et les conséquences plutôt que de partir d’un point de vue
directement orienté sur les risques. Quel impact aurait
une
cyber
-attaque ? Avons-nous réalisé une évaluation
permettant d’identifier quels seraient les effets sur notre
SI, nos métiers, notre capacité à produire et à servir nos
clients ? La
Cyber
-sécurité doit être une priorité si elle est
une menace pour la résilience de l’entreprise.
Rikki SORENSEN
Associé
Raymond Chabot Grant Thornton Canada
Manu SHARMA
Associé
Grant Thornton UK
Comment les organisations
peuvent-elles protéger leurs
actifs ?
Les organisations ne peuvent pas prétendre être complètement
protégées contre les
cyber
-attaques, mais il est essentiel d’avoir
une politique de
cyber
-sécurité en place, évaluée en permanence
pour son efficacité.
Il n’existe pas une méthodologie sur « étagère » pour une approche
commune et unifiée de la
cyber
-sécurité. Cependant les stratégies qui
fonctionnent sont construites autour de trois piliers : les individus, les
processus et la technologie. Les organisations qui comprennent ces
principes, éduquent leurs collaborateurs pour être leur première ligne de
défense, afin de développer une culture de sensibilisation à la sécurité.
Ils mettent en œuvre les processus de sécurité appropriés et ils utilisent la
technologie pour les implémenter, quand cela est nécessaire.
Qu’est-ce que cela signifie dans la pratique ? Les stratégies de
Cyber-
sécurité doivent être adaptées afin de répondre aux besoins opérationnels
et culturels des organisations, en tenant compte des exigences
réglementaires et en se concentrant sur ce qui doit être protégé plutôt
que d’offrir une couverture globale.
L’identification des priorités pour la protection commence par une
évaluation des risques et l’analyse des failles. La réévaluation continue est
importante afin de veiller à ce que les zones identifiées d’une organisation
soient toujours protégées.
Le défi est de créer une politique, des guides et des
formations qui soient pertinents afin de construire une
culture de sensibilisation et d’accompagnement, et ne
pas seulement se limiter à la conformité pour former et
sensibiliser.
Le véritable objectif est de mettre en place une culture
collective au sein de l’organisation afin de favoriser la
responsabilisation et le fait que les actions quotidiennes
des collaborateurs, (telles que cliquer sur un lien dans un
courriel inconnu) puissent causer de graves préjudices à
l’organisation.
Grégoire de VERGNETTE
Manager
Grant Thornton France
Elodie LASZKEWYCZ
Senior Manager
Grant Thornton France
CRÉATION DE POLITIQUES EFFICACES EN MATIÈRE DE
CYBER
-SÉCURITÉ : LES PIÈGES À SURVEILLER
Manque d’engagement de la part de la direction
- Les politiques qui manquent de robustesse et de profondeur,
- Les politiques efficaces doivent détailler les procédures, les
mécanismes et les contrôles,
- Les procédures de communication et les processus de
surveillance.
L’absence de réactivité quant à la mise à jour des
formations, des politiques et des procédures afin de
refléter la nature évolutive de la
cyber
menace
Le retard dans l’alignement des personnes, des processus et des
technologies concernant cette menace mouvante, changeante et
complexe.
Le manque de compétences et de capacités internes
permettant de mettre en œuvre des politiques de
cyber
-
sécurité efficaces
La rédaction de politiques trop techniques, que ne peuvent pas
s’approprier les employés et les collaborateurs.
6
7
8
1
/
8
100%
