Former ses employés aux enjeux à la cybersécurité, un enjeu majeur pour les entreprises

Depuis l’avènement d’Internet, l’interconnexion des systèmes, n’a cessé de croître. Les connexions au réseau mondial sont de plus en plus rapides, passant de quelques kilo-octets par seconde aux débuts d’Internet à plusieurs centaines de méga-octets actuellement. Les données échangées sont de plus en plus volumineuses et diverses. Parallèlement à l’augmentation de la bande passante, la dépendance des entreprises vis-à-vis de ce réseau n’a cessé de croître. Il est désormais inconcevable d’envisager de développer une entreprise sans s’appuyer sur un système d’information connecté au reste du monde.

Cette interconnexion, qui expose des milliards de systèmes à la menace potentielle de personnes mal intentionnées, fait que la cybersécurité est de plus en plus un enjeu majeur pour les entreprises.

Mais qu’entend-on précisément par cybersécurité ?

Le concept de cybersécurité regroupe un ensemble d’éléments dont le but est la protection des systèmes informatiques et des données qu’ils traitent. Parmi ces éléments on peut citer les types suivants :

  • technique : logiciels de protection (i.e antivirus), cryptographie, matériels (i.e pare-feu, processeurs sécurisés)
  • méthodique : la méthode française Ebios est par exemple un outil de gestion des risques
  • humain : ingénieurs spécialisés en sécurité, formation des employés d’une entreprise
  • législatif : le RGPD, l’ANSSI, la famille de normes ISO/IEC 27000

 

La protection implémentée par ces différents éléments a pour objectif de maintenir les propriétés suivantes sur les données et les systèmes :

  • intégrité : les données ne doivent pas être modifiées par une personne non autorisée
  • confidentialité : seules les personnes autorisées doivent pouvoir avoir accès à l’information
  • authentification : s’assurer qu’une personne qui accède à une information est bien celle qu’elle prétend être
  • non répudiation : une transaction entre deux parties ne peut être remise en cause par l’une d’entre elles
  • disponibilité : assurer la disponibilité d’un service implémenté par un système

 

Le concept de cybersécurité étant défini, quelles sont les menaces d’aujourd’hui et de demain dont elle doit défendre les entreprises ?

 

L’attaque contre l’entreprise Saoudienne Aramco à l’aide du virus Shamoon en 2012 a montré une fois de plus à quel point le maintien des propriétés de sécurité du système d’information d’une entreprise est vital. Plus de 30000 ordinateurs utilisant le système d’exploitation Windows furent mis hors-service par le virus. Ce dernier n’a pas touché le système d’information et les automates du processus industriel permettant la production de pétrole, mais les employés ont dû utiliser des machines à écrire, le courrier interne sur papier et des fax pour continuer à vendre leur pétrole, et ce pendant 10 jours. Cet exemple met entre autre en évidence l’importance fondamentale de la formation en cybersécurité des employés d’une entreprise. Il s’avère que l’attaque trouve son origine dans le fait qu’un employé des ressources informatiques de l’entreprise a ouvert un lien dans un courriel qui a déclenché l’installation du virus sur son poste. Une statistique simple permet de mettre encore plus en perspective la problématique de la formation : en 2017 la société IBM affirmait que l’erreur humaine est impliquée dans plus de 90 % des cyber attaques. En 2019, le bureau du commissaire à l’information du Royaume-Uni (ICO) reportait la même statistique.

La pandémie de COVID-19 a induit une transformation de l’environnement digital et a permis de mettre en évidence de nouvelles problématiques de sécurité. Beaucoup d’employés se sont soumis à l’exercice du télétravail et les cybers criminels se sont rapidement adaptés. Cette modification de l’environnement digital a été globale et a entraîné un affaiblissement des mesures de cybersécurité car les entreprises n’étaient pas préparées. Il faut s’attendre à ce que ces modifications dans les modalités de fonctionnement des entreprises deviennent la norme, avec une augmentation de la surface d’attaque que les cybercriminels peuvent exploiter.

L’agence de l’union européenne pour la cybersécurité (ENISA) a mis en avant le fait que les attaques persistantes visant les données à forte valeur ajoutées, telles que la propriété intellectuelle et les secrets d’état, sont en augmentation. Elle a aussi relevé le fait que le thème du COVID-19 est efficacement utilisé par les criminels pour effectuer des campagnes d’hameçonnage (phishing) afin de voler des identités et mots de passe et aussi pousser les utilisateurs à ouvrir des liens conduisant au téléchargement de malwares.

D’après la société IBM, la première menace à laquelle les entreprises doivent faire face actuellement est celle des rançongiciels (ransomwares), représentant actuellement 23 % des attaques et générant un montant estimé à 123 millions de dollars. De plus on observe que dans certaines attaques par rançongiciel menées fin 2020, les criminels ne restituaient pas systématiquement les données séquestrées après le paiement de la rançon. Toujours d’après cette société, l’industrie manufacturière est remontée de la 8ème place en 2019 à la deuxième place en 2020 dans le classement des cibles préférées par les attaquants, juste derrière les établissements financiers et l’industrie des assurances.

Il devient donc fondamental pour les entreprises de se préparer et de former leurs employés pour minimiser les dégâts de cyberattaques et réagir le plus vite possible face à leur détection. Dans ce contexte, la collaboration entre acteurs de l’industrie est à développer pour maximiser la sensibilisation aux menaces de leurs employés.

Une des conclusions du rapport de l’ENISA résume l’aspect du paysage actuel et de demain de la cybersécurité dans les entreprises : il y a une longue route devant nous pour atteindre un environnement digital plus sûr face à des cyberattaques de plus en plus personnalisées et utilisant des méthodes et techniques de plus en plus sophistiquées.

 

Fabien Autrel,
Ingénieur de recherche au département SRCD à l’IMT Atlantique
et au sein de la Chaire Cyber CNI

 

A propos de Fabien Autrel

Fabien Autrel est ingénieur de recherche sur le site de Rennes d’IMT Atlantique. Après avoir fait une thèse sur la corrélation d’évènements de sécurité et la réaction aux intrusions soutenue en 2005, Fabien a continué à travailler sur cette thématique ainsi que la spécification formelle d’exigences de sécurité. Aujourd’hui il s’intéresse à la sécurité des systèmes industriels, ces systèmes étant une cible de plus en plus privilégiée par les attaquants.

X
X