CISO

Sécurité informatique : la victoire aime la préparation

Share this post:

Le président américain Dwight Eisenhower, l’un des artisans incontestés de la victoire alliée pendant la Seconde Guerre mondiale, soulignait qu’« aucune bataille n’est jamais remportée en suivant le plan, mais aucune bataille n’est jamais remportée sans en avoir un ». Lee Morrison, instructeur de sports de combat médiatisé, résume : « l’attaquant a par définition toujours un temps d’avance sur le défenseur. Pendant une attaque, il ne faut donc pas avoir à se poser trop de questions ». Ces deux hommes et leur point de vue respectifs sur la manière d’aborder la défense peuvent nous inspirer en matière de sécurité informatique.

Face à des phénomènes comme la pandémie de Covid-19, les entreprises se sont adaptées différemment, selon l’influence qu’elles accordent à leur responsable de la sécurité au sein du Comité de Direction. Bien entendu personne ne pouvait prévoir cette crise sanitaire majeure, mais certaines entreprises avaient mis en place des procédures opérationnelles de sécurité informatique en cas d’événement de grande ampleur, à l’instar d’une crise économique ou d’une catastrophe naturelle. Pour les services les plus stratégiques (énergie, transports, télécoms…), c’est parfois une obligation légale.

 

Cartographier ses risques de sécurité informatique

Pour bien se préparer, il faut identifier et mesurer chaque risque. Chaque entreprise doit se demander ce qui peut l’impacter : une catastrophe écologique ? Un incendie ? Un rappel produit catastrophique ? Une cyberattaque ? Si un problème est statistiquement peu probable, mais qu’il a la capacité de causer de lourds dommages à l’entreprise, alors il faut chercher à s’en prémunir. La maîtrise du risque passe par une cartographie précise des points sensibles de lentreprise. Un ransomware comme Wannacry peut bien détériorer 1000 ordinateurs au sein d’une institution par exemple, si aucun de ces postes n’est stratégique, la survie de l’organisation n’est pas en jeu. En revanche, si le 1001e poste contient des données sensibles, il faut le savoir et se préparer en conséquence.

 

Simuler une vraie attaque

Après la prise de conscience, la protection : les solutions sont nombreuses et il convient de les éprouver. Pour connaître l’efficacité de sa protection, une façon simple et pragmatique est d’orchestrer une attaque sous contrôle. Autrement dit, d’engager de vrais hackers qui vont tenter de pénétrer dans le système et d’accéder aux données sensibles – sans réaliser de dégâts. Ces « white hackers », des pirates éthiques qui travaillent au service des entreprises, peuvent rapidement révéler les points faibles du système d’information. Après tout, n’est-il pas préférable de connaître ses faiblesses pour les corriger proactivement, plutôt que de les voir exploitées par des personnes malveillantes ?

 

Le RSSI dans le comité de direction

Il n’en reste pas moins vrai que pour faire accepter de mener ces exercices de préparation à large échelle et s’outiller des plateformes adéquates, le RSSI doit convaincre le comité de direction, en adoptant le langage métier de ceux qu’il doit protéger. Sans l’aval du comité de direction, cette préparation, hautement nécessaire pour faire face à une attaque cyber, n’aurait aucun sens.

Dans bien des cas, quand ces exercices sont menés avec une portée limitée, ils créent un sentiment dangereux de fausse sécurité. Alex Honnold, l’un des meilleurs grimpeurs du monde, spécialiste des grandes voies sans assurance, dit « je visualise le pire pour rester honnête avec moi-même ; si je ne visualisais que le meilleur, je me mettrais dans un pétrin auquel je ne suis pas préparé. » En cybersécurité c’est exactement la même chose : on fait se préparer l’entreprise pour un risque que l’on cherche au maximum à éviter, tout en sachant que le risque zéro n’existe pas, avec l’idée qu’aucune préparation ne correspondra exactement à une attaque, mais qu’aucune attaque ne se trouvera sans réponse !

Paru dans le JDN

Directeur Business Development – IBM Security France

More CISO stories
16 avril 2021

Construire, moderniser, sécuriser et opérer votre IT avec IBM IS

  Le « Move to Cloud » et l’intégration d’environnements hybrides De nouveaux rôles clés émergent pour accélérer l’innovation en entreprise tout en maîtrisant les coûts. L’usage du Cloud en entreprise représente, en effet, une opportunité extraordinaire d’innovation. Mais aussi une menace sur l’intégrité, le contrôle des données et la gestion des assets informatiques. « Le « Move to […]

Continue reading

6 avril 2021

La sécurité silencieuse, garante de l’expérience utilisateur

Les impératifs de sécurité et d’expérience utilisateur sont parfois difficiles à concilier. Cependant, le recours à une protection silencieuse, telle celle apportée par l’approche ZeroTrust, permet de maximiser le niveau de sécurité, tout en préservant –voire en améliorant – l’expérience utilisateur. Le rôle d’un RSSI (Responsable de la Sécurité des Systèmes d’Information) est de protéger […]

Continue reading

30 mars 2021

La cyberfraude est avant tout une fraude, commise par un canal numérique

Il n’existe pas, en France, de définition juridique de la cyber fraude : pour le législateur, il s’agit d’une escroquerie –qui est, elle, définie pénalement – commise via un canal digital. Faut-il y voir un oubli ou un manquement dans la loi ? Bien au contraire ! C’est plutôt un rappel essentiel qu’une fraude reste […]

Continue reading