Pour soutenir les modèles opérationnels de nos organisations, assurer pléthore de services auxquels nous recourrons au quotidien, une quantité astronomique de données est échangée chaque seconde à travers les réseaux, entre des centres de données et des millions de terminaux. La transmission et le traitement de ces informations en temps réel sous-tendent ce que l’on appelle aujourd’hui la « data driven economy ». Le fonctionnement de nos sociétés dépend de ces données. En prendre conscience implique, dès lors, de veiller à les protéger, à les sécuriser. « En effet, si ces données sont des ressources essentielles, elles sont aussi convoitées. En permanence, les systèmes informatiques sont exposés à des attaques, visant à capter ces données ou encore à paralyser les systèmes informatiques qui les exploitent ou les hébergent », explique Aurélien Mangin, Information Security Officer au sein d’EBRC.
Des attaques de plus en plus professionnelles
Les récentes attaques médiatisées révèlent que les cyber-attaquants se professionnalisent, menant des attaques de plus en plus sophistiquées, exploitant chaque faille de manière redoutable. En décembre 2020, par exemple, l’attaque ciblant le logiciel de supervision de réseau Orion, édité par SolarWinds, a permis à des pirates d’accéder aux réseaux informatiques de 18.000 entités sans être détectés. L’année dernière, l’attaque Log4Shell visait l’exploitation d’une faille critique liée à l’utilisation de Java, permettant à des attaquants d’exécuter du code à distance à travers des millions d’applications dans le monde. Plus récemment encore, on assiste à une multiplication des attaques en lien avec la situation géopolitique en Ukraine. Il s’agit là d’actes d’espionnage, de sabotage ou encore de désinformation et de propagande.
« Dans cet environnement incertain, les organisations doivent parvenir en permanence à gérer un risque cyber omniprésent, poursuit Aurélien Mangin. Elles doivent constamment faire face à des attaques de déni de service, à des ransomwares. Plus récemment, on a vu des attaques qui visaient, purement et simplement, la destruction des informations et des systèmes, sans forcément chercher à faire pression ou à obtenir quelque chose. Il s’agit, dans ce contexte d’actes de guerre visant purement et simplement à nuire.. »
Adopter des approches renforcées de la sécurité
De quels moyens disposent les organisations pour se protéger ? Au sein d’EBRC, acteur européen de la protection et de la gestion de la donnée sensible opérant 15.000 m² de data centre Tier IV et son propre cloud souverain EBRC-Trusted Cloud Europe, la sécurité est au cœur des préoccupations. L’entreprise, dans cet environnement, veille à mettre en œuvre les meilleures approches et bonnes pratiques, appliquant les normes internationales les plus avancées en la matière – ISO 27001 (Sécurité de l’Information), ISO 22301 (Continuité de l’Activité), HDS (Hébergeur de Données de Santé), PCI DSS (Payment Cart Industry Data Security Standard)– et mettant en œuvre scrupuleusement les exigences imposées par le RGPD.
De l’authentification forte à la gestion de crise
« Le renforcement de la sécurité passe d’abord par quelques éléments clés, comme la mise en place de solutions d’authentification à plusieurs facteurs des utilisateurs, particulièrement si ceux-ci doivent accéder aux données les plus sensibles et aux systèmes critiques, poursuit l’expert en sécurité. Au-delà, il faut pouvoir mettre en place des règles de supervision et de détection des attaques en temps réel, ce contrôle s’appuyant sur des indicateurs de compromission qu’il faut pouvoir réévaluer régulièrement. Parce que le risque zéro n’existe pas, il est important de se doter d’une stratégie de back-up performante, qui permet de rapidement relancer les systèmes à la suite d’une attaque. Enfin, il faut se préparer à faire face à toute crise, en mettant en place les procédures ad hoc pour garantir une prise rapide de décision, une communication efficiente et une réponse adaptée à l’attaque pour revenir le plus rapidement possible à la normale. »
Adopter un cadre de référence
Pour faire face à la menace et garantir une protection optimale, il est important de s’appuyer sur les bonnes compétences en cybersécurité mais aussi de recourir à un cadre sécurisé. « Les risques associés à une fuite, une destruction ou une prise en otage de la donnée ne sont pas négligeables. La réputation d’une entreprise, la confiance que les utilisateurs placent en elle, peuvent rapidement être altérées. On peut aussi évoquer un risque opérationnel, légal, financier et, si l’on parle de données personnelles, une exposition à des sanctions liées au RGPD, poursuit Aurélien Mangin. La sécurité, cela ne s’improvise pas. Le recours à un cadre sécurisé, comme la norme ISO 27001, relative à la gestion de la sécurité de l’information, ou encore le NIST Cybersecurity Framework, permet d’avoir une approche structurée en la matière et de s’inscrire dans une démarche d’amélioration continue basée sur la gestion des risques. » Aujourd’hui, EBRC est certifié sur beaucoup de ces standards, chacun constituant un gage de qualité et de confiance pour ses clients.
S’évaluer et faire preuve d’humilité
« Je le disais, le risque zéro n’existe pas. Dès lors, il est aussi important de régulièrement évaluer son approche de la sécurité, en procédant à des tests d’intrusion menés en interne ou par des acteurs extérieurs, de se soumettre à des audits internes et externes, poursuit Aurélien Mangin. Le résultat de ces démarches permet de porter un regard sur ce qui est mis en œuvre. En étant ouvert à la critique, en faisant preuve d’humilité, en admettant ses faiblesses, on cherche en permanence à élever le niveau. Cela fait partie du processus d’amélioration continue. »
La donnée personnelle, un enjeu critique
Ces enjeux sont plus essentiels encore si l’on parle de l’exploitation de données personnelles, pour lesquelles une utilisation malveillante peut entraîner des conséquences graves sur les individus concernés. Soumis au Règlement Général sur la Protection des Données, les organisations ont pour obligation de garantir la confidentialité, l’intégrité et la disponibilité de ces données. « Si l’un de ces trois piliers est compromis, l’impact sur la personne peut être lourd, ou pire, fatal. Prenons les données de santé, par exemple. Leur non-disponibilité, si l’on parle d’un cas d’urgence, peut conduire à une mauvaise prise en charge du patient. Leur altération, de la même manière, peut entrainer des erreurs de diagnostic, explique Aurélien Mangin. La compromission des données personnelles, qui concernent une opinion politique, philosophique ou religieuse, peut aussi avoir des conséquences fâcheuses. » Pour veiller sur ces données et garantir les droits de chacun vis-à-vis des informations personnelles qui le concernent, chaque organisation doit nommer un Data Protection Officer (DPO). « Cette fonction doit être rattachée au plus haut niveau de la hiérarchie de l’organisation. Elle doit veiller à la bonne application du règlement, en agissant de manière indépendante au départ d’une vision globale de l’utilisation faite de la donnée dans l’entreprise, explique Aurélien Mangin, suppléant du DPO chez EBRC. En permanence, le DPO doit aussi sensibiliser les employés sur ces enjeux, les mobiliser et mettre en place des contrôles adaptés. »
Sensibiliser l’humain en permanence
Enfin, il est important de rappeler que le niveau de sécurité dépend de chaque maillon de la chaîne et que, en l’occurrence, le plus faible se situe le plus souvent au niveau de l’humain. « Tout le monde, en effet, peut faire une erreur. C’est humain et inévitable. Cependant, parce qu’une méprise peut entraîner des conséquences importantes, il est essentiel de sensibiliser en permanence, pour que chacun soit conscient des enjeux et des risques, principalement lorsque l’on parle de phishing ou d’attaques dites d’ingénierie sociale. La vigilance doit émaner de tous, explique Aurélien Mangin. Les équipes de sécurité, pour renforcer le niveau de protection, doivent pouvoir travailler avec les ressources humaines, afin de pouvoir communiquer régulièrement avec les collaborateurs, rappeler les bonnes pratiques, les soumettre fréquemment à des exercices d’incidents de sécurité. » De cette manière, on peut travailler à mettre en place une réelle culture de la sécurité, au service de la protection des données et contribuant à la bonne continuité de l’activité.
Comment procéder ?
La maîtrise de l’ensemble des dispositifs, outils et normes peut s’avérer complexe et ardue, plusieurs années de pratique sont nécessaires pour en acquérir la maîtrise. L’augmentation du nombre de menaces, et l’enchaînement des crises obligent les entreprises à accélérer le rythme dans le renforcement de leur défense et de leur résilience, mais comment procéder ? « Se faire accompagner par des experts dans le domaine, disposer d’une vue d’ensemble afin de poser le bon diagnostic et établir un plan d’action sera souvent la bonne approche. Il conviendra également de procéder à des choix spécifiques aux exigences du métier du client afin de garder un œil sur l’efficacité par rapports aux coûts. Par conséquent choisir un partenaire qui pratique ce qu’il vous recommande sera un plus. C’est ce que nous faisons quotidiennement chez EBRC avec nos équipes Trusted Advisory Services. »