Il ne se passe pas à un jour sans qu’une entité, étatique ou privée, petite ou grande, ne fasse les frais d’une cyberattaque. Si les conséquences ne se traduisent pas systématiquement par le paiement de rançons de centaines de milliers d’euros, elles sont toujours fâcheuses pour les entreprises.
Pour s’en prémunir, elles sont invitées à mieux se protéger et la mise en place d’une démarche de cyber-résilience est un moyen très efficace à leur portée. De quoi parle-t-on ? Et comment la mettre en œuvre ? Nos explications et conseils.
La cybersécurité a beau être un enjeu de plus en plus pris en compte par les entreprises, seules 7% des organisations françaises ont un niveau de préparation mature face aux risques modernes de cyberattaques (étude Cisco « Cybersecurity Readiness Index : Resilience in a Hybrid World »).
Un constat d’autant plus inquiétant que les techniques utilisées par les pirates, elles, se diversifient et s’étoffent pour contourner les systèmes de protection des entités et manipuler des utilisateurs encore trop peu sensibilisés. Et les moyens mis en œuvre par les cyberattaquants évolueront encore.
Une cybersécurité figée ne peut donc être en mesure de protéger durablement les entreprises. Seule une posture dynamique est aujourd’hui payante pour limiter les risques. On parle de cyber-résilience.
La cyber-résilience, c’est quoi ?
Cette posture invite l’entreprise à accepter qu’elle peut être la cible d’une cyberattaque à tout moment et à anticiper les risques associés et les réponses aux menaces. Ainsi, les entreprises par réalisme et proactivité « développent leur capacité à se protéger, à identifier les risques et à se remettre d’une cyberattaque aussi rapidement que possible », explique Zineb FAIDA, Consultante Gouvernance Cybersécurité chez Cinalia.
Une démarche de cyber-résilience exige donc une préparation poussée en amont afin de devenir acteur de sa sécurité.
Cette approche ne peut pas s’appuyer uniquement sur des technologies de détection. Elle implique aussi d’améliorer en continu la protection des systèmes d’information afin qu’ils soient plus difficiles à trouver, à attaquer et à endommager. Surtout elle exige un investissement humain important, et pas seulement celui des équipes internes et/ou externes dédiées au SI.
Les enjeux cyber pour des secteurs sensibles
Sans ce changement d’approche, d’une posture défensive ou réactive à une démarche lucide et proactive, les entreprises s’exposent à des risques très importants, en particulier celles qui œuvrent dans des secteurs hautement stratégiques, voire vitaux, comme la logistique ou la santé.
Les risques cyber de la logistique, un secteur très dépendant de ses systèmes d’information
Plus d’une vingtaine d’acteurs du transport et de la logistique ont été victimes de cyberattaques en 2022 à travers le monde, et plus de 25 l’année précédente. Or les impacts sont, sinon dévastateurs, toujours négatifs pour les entreprises et pour l’économie. Citons par exemple des retards de livraisons dus à l’indisponibilité des services, des pertes de production ou encore des pertes de données.
A titre d’exemple, les indisponibilités des systèmes d’information occasionnées par les ransomware peuvent avoir de telles répercussions que les entreprises de transport et de logistique attaquées ont souvent tendance à payer les rançons exigées par les cybercriminels.
« Par la suite, une cyberattaque peut fortement impacter la réputation de l’entreprise. Sans parler des pertes financières sèches qui peuvent atteindre des montants astronomiques », souligne Zineb FAIDA. Géant du transport maritime mondial, Maersk a ainsi perdu quelque 300 millions de dollars suite à l’attaque de NotPetya qui a infecté 50 000 terminaux et des milliers d’applications et serveurs répartis sur 600 sites dans 130 pays.
La santé : des risques financiers mais surtout humains
Dans le secteur de la santé, les risques sont aussi financiers et réputationnels mais surtout humains. « Une cyberattaque peut sérieusement perturber des services de soins. Une mise à l’arrêt du système d’information peut en effet entrainer la paralysie des équipements et donc mettre en danger les patients en réanimation ou en néonatologie, engendrer la déprogrammation ou le report d’interventions chirurgicales, rappelle Zineb FAIDA. Si le système ne fonctionne pas, il faut aussi réorienter les urgences vers d’autres centres hospitaliers, ce qui augmente les risques pour la vie des personnes. »
Malheureusement, les exemples ne manquent pas. 11 établissements de santé ont ainsi subi une cyberattaque en 2022. Le 28 mars 2022, l’Hôpital de Castelluccio à Ajaccio a notamment été victime d’un ransomware et contraint de suspendre les soins de radiologie et d’oncologie. La plus impressionnante et la plus médiatisée a touché le centre hospitalier de Corbeil-Essonnes, le 20 août 2022. La situation a été si dégradée que l’établissement a dû noter l’arrivée des patients sur des cahiers. Et malgré un retour à la normale depuis, Medhy Zeghouf, président du conseil de surveillance de l’hôpital, a déclaré qu’il faudrait « toute l’année 2023 pour rebâtir entièrement » l’architecture informatique, et estimé le coût total pour l’établissement à environ 7 millions d’euros. Ce sans compter la fuite de données qui a suivi l’attaque. Les pirates n’ayant pas obtenu la rançon réclamée, ils ont diffusé les données volées, dont des informations liées aux patients comme des résultats d’examens médicaux.
Les clés pour devenir cyber-résilient
Être en mesure de rebondir rapidement pour rétablir les systèmes, ainsi que minimiser les failles par lesquelles entrent les pirates est donc crucial à bien des égards. Et pour aligner technologies, pratiques et réactions dans une logique de cyber-résilience, il y a des impératifs.
Identifier, évaluer et gérer les risques
Tout d’abord, identifier les risques que peuvent rencontrer les entreprises. « Elles doivent avoir une liste exhaustive des risques les plus pertinents par rapport à leurs activités, à leur personnel, à leurs fournisseurs… Ensuite, il faut déterminer l’impact de chaque risque et la probabilité de leur occurrence afin de les classer par ordre d’importance. Ce qui permettra de traiter certains risques en priorité voire en urgence, et d’en traiter d’autres plus tard ou d’accepter d’en prendre certains », souligne Zineb FAIDA.
Et pour l’identification des risques propres à chaque organisation, il faudra impliquer tous les métiers dès le début pour être sûrs d’avoir toutes les informations nécessaires à l’établissement d’un plan d’actions éclairé et d’un plan de continuité d’activité en cas d’attaque.
« Il y a aussi des mesures qu’on peut mettre en place par défaut partout, précise l’experte de Cinalia. Par exemple des technologies de détection et de prévention. Il faut aussi procéder à la segmentation des réseaux qui empêche en cas d’attaque d’impacter tout le réseau. Et n’oublions pas la bonne gestion des accès et la sauvegarde des données, essentielle pour la récupération des données suite à une attaque. »
Impliquer tous les collaborateurs
Mais toutes les étapes et actions citées précédemment pèseront peu sans une approche holistique de la cybersécurité. Ce qui signifie qu’il faut considérer que tous les actifs d’une entreprise sont connectés, et donc impliqués.
« Le facteur humain constitue clairement un enjeu majeur de cybersécurité. C’est la raison pour laquelle il faut absolument impliquer les collaborateurs. Une personne non sensibilisée peut ne pas prendre garde à certaines incohérences dans un mail par exemple, rappelle Zineb FAIDA. Pour prendre en compte à la bonne échelle ce facteur humain, il faut organiser des sessions de formation et de sensibilisation, les aider à comprendre concrètement les risques de cybersécurité car on ne s’investit pas suffisamment quand on ne comprend pas concrètement les choses. Dire qu’il ne faut pas “cliquer sur”, ne suffit pas. »
Il est aussi fortement conseillé de mettre en place une procédure de gestion des incidents en cas de cyberattaque ou de suspicion de cyberattaque, afin d’aider les collaborateurs à savoir quoi faire en cas d’incidents. Par exemple, savoir qui contacter en cas de mail suspect, en cas de blocage d’un ordinateur… Surtout les encourager à signaler toute activité suspecte : certains collaborateurs reçoivent un mail suspect et ne l’ouvrent pas, mais ils ne remontent pas l’information. C’est pourtant un bon moyen de prévenir les autres collaborateurs, d’autant que la direction que l’entreprise est potentiellement exposée.
« Notre expertise nous invite à préconiser la mise en place de tests de phishing pour aider les collaborateurs à identifier les tentatives de phishing et à les éviter. Il y a maintenant plusieurs plateformes et applications qui permettent de faire ces tests. On peut ainsi envoyer des mails aux collaborateurs et voir qui va les ouvrir, qui va donner des informations, et donc qui présente un risque élevé et qui présente un risque faible », poursuit l’experte de Cinalia.
L’intérêt du SOC (Security Operation Center)
Enfin, la cyber-résilience étant une démarche proactive et donc exigeante en terme d’attention, de tests et d’amélioration, « nous préconisons la mise en place d’un équipe SOC soit en interne soit en externe ».
L’équipe de professionnels en cybersécurité d’un centre des opérations de sécurité a en effet pour mission de superviser les systèmes et d’analyser en permanence l’ensemble de l’infrastructure informatique d’une entreprise, afin de détecter les évènements de cybersécurité en temps réel, et donc de pouvoir faire face rapidement et efficacement.
« Détecter en temps réel un incident peut réellement éviter d’avoir des impacts néfastes. Le SOC permet de réagir rapidement. Et le coût de mise en place d’un SOC est bien moins élevé qu’une perte de données et/ou que le prix d’une cyberattaque, rétablissement du système d’information et des données inclus », estime Zineb FAIDA.
De plus, le SOC permet de garantir la protection des clients, les informations qui les concernent, et de préserver leur confiance.
En savoir plus :
Chez Cinalia, nous avons notamment une expertise significative dans le secteur de la santé, précise Zineb FAIDA. Cela nous permet de mieux appréhender les enjeux des organisations avec lesquelles nous travaillons et de les accompagner efficacement dans une logique de cyber-résilience. Nous pouvons évidemment mettre à leur disposition notre SOC mais nous n’hésiterons pas non plus à les conseiller et à les assister si elles souhaitent être autonomes.
