CISO

Sécurité informatique : la victoire aime la préparation

Share this post:

Le président américain Dwight Eisenhower, l’un des artisans incontestés de la victoire alliée pendant la Seconde Guerre mondiale, soulignait qu’« aucune bataille n’est jamais remportée en suivant le plan, mais aucune bataille n’est jamais remportée sans en avoir un ». Lee Morrison, instructeur de sports de combat médiatisé, résume : « l’attaquant a par définition toujours un temps d’avance sur le défenseur. Pendant une attaque, il ne faut donc pas avoir à se poser trop de questions ». Ces deux hommes et leur point de vue respectifs sur la manière d’aborder la défense peuvent nous inspirer en matière de sécurité informatique.

Face à des phénomènes comme la pandémie de Covid-19, les entreprises se sont adaptées différemment, selon l’influence qu’elles accordent à leur responsable de la sécurité au sein du Comité de Direction. Bien entendu personne ne pouvait prévoir cette crise sanitaire majeure, mais certaines entreprises avaient mis en place des procédures opérationnelles de sécurité informatique en cas d’événement de grande ampleur, à l’instar d’une crise économique ou d’une catastrophe naturelle. Pour les services les plus stratégiques (énergie, transports, télécoms…), c’est parfois une obligation légale.

 

Cartographier ses risques de sécurité informatique

Pour bien se préparer, il faut identifier et mesurer chaque risque. Chaque entreprise doit se demander ce qui peut l’impacter : une catastrophe écologique ? Un incendie ? Un rappel produit catastrophique ? Une cyberattaque ? Si un problème est statistiquement peu probable, mais qu’il a la capacité de causer de lourds dommages à l’entreprise, alors il faut chercher à s’en prémunir. La maîtrise du risque passe par une cartographie précise des points sensibles de lentreprise. Un ransomware comme Wannacry peut bien détériorer 1000 ordinateurs au sein d’une institution par exemple, si aucun de ces postes n’est stratégique, la survie de l’organisation n’est pas en jeu. En revanche, si le 1001e poste contient des données sensibles, il faut le savoir et se préparer en conséquence.

 

Simuler une vraie attaque

Après la prise de conscience, la protection : les solutions sont nombreuses et il convient de les éprouver. Pour connaître l’efficacité de sa protection, une façon simple et pragmatique est d’orchestrer une attaque sous contrôle. Autrement dit, d’engager de vrais hackers qui vont tenter de pénétrer dans le système et d’accéder aux données sensibles – sans réaliser de dégâts. Ces « white hackers », des pirates éthiques qui travaillent au service des entreprises, peuvent rapidement révéler les points faibles du système d’information. Après tout, n’est-il pas préférable de connaître ses faiblesses pour les corriger proactivement, plutôt que de les voir exploitées par des personnes malveillantes ?

 

Le RSSI dans le comité de direction

Il n’en reste pas moins vrai que pour faire accepter de mener ces exercices de préparation à large échelle et s’outiller des plateformes adéquates, le RSSI doit convaincre le comité de direction, en adoptant le langage métier de ceux qu’il doit protéger. Sans l’aval du comité de direction, cette préparation, hautement nécessaire pour faire face à une attaque cyber, n’aurait aucun sens.

Dans bien des cas, quand ces exercices sont menés avec une portée limitée, ils créent un sentiment dangereux de fausse sécurité. Alex Honnold, l’un des meilleurs grimpeurs du monde, spécialiste des grandes voies sans assurance, dit « je visualise le pire pour rester honnête avec moi-même ; si je ne visualisais que le meilleur, je me mettrais dans un pétrin auquel je ne suis pas préparé. » En cybersécurité c’est exactement la même chose : on fait se préparer l’entreprise pour un risque que l’on cherche au maximum à éviter, tout en sachant que le risque zéro n’existe pas, avec l’idée qu’aucune préparation ne correspondra exactement à une attaque, mais qu’aucune attaque ne se trouvera sans réponse !

Paru dans le JDN

Directeur Business Development – IBM Security France

More CISO stories
12 septembre 2022

La puissance de l’innovation hybride et multicloud crée une expérience client cohérente dans tous les secteurs d’activité

Par Nicolas Meyerhoffer, Vice-Président, Managing Director Financial Services, IBM Technology, le 12 septembre 2022 Pensez au taux et au rythme d’innovation que nous connaissons tous en tant qu’utilisateurs à l’ère numérique actuelle : qu’il s’agisse d’initier en toute sécurité une transaction bancaire au moment opportun, de changer rapidement un vol à la dernière minute sur l’application […]

Continue reading

19 août 2022

Les technologies au service des pratiques durables

Comment passer des déclarations d’intention à la définition d’une feuille de route puis à l’action ? Voilà la grande question que se posent de nombreuses entreprises face à la nécessité de “verdir” leur activité. IBM propose des services et solutions pour les accompagner. D’après une récente étude de l’IBM Institute for Business Value, 44% des […]

Continue reading

12 juillet 2022

Le spécialiste des logiciels libres STARTX adopte l’IBM Cloud Pak for Multi Cloud Management pour ses projets CloudForms

C’est tout naturellement que STARTX s’est rapproché d’IBM et a choisi IBM Cloud Pak for Multi Cloud Management, pour ses projets CloudForms. Une solution cohérente, solide et pérenne, qui permet d’accélérer et de sécuriser les projets de ses clients. Une adoption accompagnée par le distributeur Arrow ECS. Membre de La Home Sweet Company, STARTX est […]

Continue reading