Cybersécurité : quelles bonnes pratiques pour les PME ?

La cybersécurité est aujourd’hui devenue indispensable à la survie des entreprises, quelle que soit leur taille. La transformation numérique chamboule en effet complètement les organisations et les usages, sans compter les nouvelles règlementations de plus en plus drastiques en matière de protection des données… Renforcer sa cybersécurité, très bien, mais quand on est une PME ou une TPE, et qu’on n’a ni les compétences ni les ressources nécessaires en interne, la tâche peut sembler bien difficile. Afin d’accompagner ces entreprises dans leurs démarches, le Poool* organisait fin septembre une Matinale dédiée dans les locaux d’Orange Labs, à Cesson-Sévigné.

La transformation numérique qui s’opère actuellement vient complètement chambouler l’organisation des entreprises aujourd’hui et nécessite un certain nombre d’adaptations et d’évolutions, à la fois pour répondre aux exigences réglementaires, mais aussi de leurs clients. Cette mutation numérique nécessite avant toute chose de se faire en toute sécurité et dans un climat de confiance. Toutefois, dans cet écosystème digital hyper complexe qui bouge en permanence, ce n’est pas chose simple. De quel périmètre de sécurité les entreprises sont-elles responsables à l’heure du cloud ? Quels sont les points fragiles (réseaux sociaux, mobiles…) à surveiller pour se protéger ?

On assiste aujourd’hui à la convergence des informatiques : clients, partenaires, fournisseurs, salariés et citoyens, explique Eric Dupuis, directeur région grand ouest, Orange Cyberdéfense. Nous sommes également dans une dynamique de « mobiquité » et de cloudification. Dans ce contexte, la sécurité se doit donc d’être ATAWAD (Anytime, Anywhere, Any Device). Il est essentiel de savoir où sont ses données, d’être en mesure de les protéger, mais aussi de déterminer dans quels cadres son entreprise est responsable.

Eric Dupuis distingue 4 volets nécessitant une attention particulière et permettant d’explorer la confiance dans les technologies : le mobile, le réseau, le Cloud et les réseaux sociaux.

- Concernant le mobile, il y aurait actuellement près de 5 milliards d’utilisateurs de terminaux mobiles dans le monde ; et près de 76% d’entre eux auraient un usage dual (professionnel et personnel) de leurs mobiles. Cela signifie que les données d’entreprises côtoient donc aujourd’hui massivement les données personnelles sur les mobiles des utilisateurs. Pourtant, les risques de fuite d’informations s’avèrent nombreux sur ces terminaux, à commencer par ceux inhérents aux applications. Rien que pour Android, près de 10 millions d’applications malveillantes ont été identifiées… Heureusement, certaines solutions existent aujourd’hui pour sécuriser ces terminaux mobiles, comme par exemple celles de Mobile Application Management (qui va venir autoriser, surveiller, supprimer les données, etc.), toutefois pour cela il faut déjà que l’utilisateur accepte de se faire surveiller à distance…

- Pour ce qui est du réseau, les risques aussi sont nombreux. Le premier réflexe aujourd’hui de la majorité des individus lors d’un déplacement, personnel comme professionnel, est de rechercher une connexion à haut débit. Pourtant, 1/5ème des connexions Wi-Fi seraient actuellement compromises. Afin de limiter les risques et de sécuriser leurs réseaux, les entreprises peuvent toutefois recourir à certaines technologies, telles que les VPN (Virtual Private Network) ou les WAF (Web Application Firewall).

- Du côté du Cloud, Eric Dupuis souligne notamment le problème lié au Shadow IT. En effet, 4/5èmes des entreprises utilisent aujourd’hui des services dans le Cloud sans passer par les équipes informatiques, et sont donc hors contrôle. Cependant, la moitié des applications utilisées conservent des données nominatives ayant de la valeur. Outre les problèmes de fuite d’information, les risques juridiques liés aux données personnelles et à leur localisation sont élevés, notamment depuis la mise en application du RGPD (Règlement général européen relatif à la protection des données). Face à ces risques, les solutions de CASB (Cloud Access Security Brokers) permettent de cloisonner les données et de contrôler l’utilisation qui en est faite.

- Les réseaux sociaux compteraient, quant à eux, près de 3, 2 milliards d’utilisateurs dans le monde. De plus, ¼ des start-ups préfèrent utiliser l’identité délivrée par un réseau social aujourd’hui. 6 personnes en moyenne possèdent le mot de passe du réseau social d’entreprise. Les risques d’escroquerie et de phishing sont élevés sur ces réseaux. Ils doivent donc faire l’objet d’une vigilance particulière. Les solutions d’IAM et de fédération d’identité permettent également de réduire ces risques.

Face à ces différents enjeux, l’objectif pour une entreprise sera en premier lieu d’être en mesure de déterminer où se trouve sa responsabilité, mais aussi de savoir où sont ses données, notamment les plus sensibles. Chaque entreprise va devoir définir ses risques et son ratio de risques « acceptables », que ce soit pour des solutions mises en place en interne ou dans le cadre d’une externalisation. Outre la technologie, la cybersécurité est aussi, selon lui, une question de gouvernance. Il convient donc de mettre en place une gouvernance de la sécurité au sein de son entreprise pour une gestion des risques adaptée. L’entreprise doit également assurer une gestion des incidents de sécurité efficace afin d’éviter le pire et de gérer les risques. Elle doit aussi organiser et suivre la continuité de ses activités critiques en cas d’incident, cyber ou non. Dans leurs démarches, les entreprises pourront s’appuyer sur les différentes normes existantes, comme la norme ISO 27001, ISO 27035 (défense) ou 22301 (continuité). Enfin, il est essentiel que l’entreprise bénéficie d’un sponsor « cyber » au sein de la direction, de manière à ce qu’elle ait le soutien et les ressources nécessaires à la mise en place d’une véritable stratégie de cybersécurité.

Objets connectés : du fantasme à la réalité…

Dans l’écosystème numérique, un autre phénomène connaît un boom exponentiel, que ce soit dans la sphère personnelle ou professionnelle : l’Internet des Objets. A l’instar d’un phénomène de mode, c’est devenu ultra-tendance de connecter tout et n’importe quoi : du jouet au réfrigérateur en passant par le pacemaker ou la brosse à dents… Pour certains objets, il devient même aujourd’hui compliqué d’en trouver sur le marché qui ne communiquent pas, sans compter ceux qui communiquent à notre insu…, explique Yann Allain, directeur du pôle conseil en sécurité des SI et des objets connectés (IoT), Serma Safety & Security. Quelles sont les parts de fantasme et de réalité à propos de l’(in)sécurité de l’IoT ? Comment faire si l’on souhaite concevoir ou utiliser des objets connectés au sein de son entreprise ?

Malheureusement, l’insécurité de l’IoT n’est pas vraiment un mythe, puisque la majorité des objets connectés s’avèrent aujourd’hui particulièrement vulnérables. D’ailleurs, au vu des différentes missions et audits effectués chez ses clients, il constate :
- Dans 2/3 des cas, un manque de chiffrement au sein de l’écosystème des objets connectés ;
- 1 fois sur 2, des défaillances dans les processus de mises à jour de ces objets ;
- Des analyses de risques trop optimistes dans 4/5èmes des cas ;
- Dans 3/5èmes des cas, les industriels n’évaluent jamais la sécurité de leurs produits.

Les impacts de tels manquements sont nombreux : vol de données sensibles, piratage à distance, décision de sécurisation faussée, risque de non-conformité réglementaire, retard de mise sur le marché… De plus, dans certains cas extrêmes, notamment dans le domaine de la santé connectée ou des véhicules autonomes, les impacts peuvent s’avérer dramatiques puisqu’ils ont des conséquences directes dans le monde physique, et peuvent engendrer des pertes de vies humaines. Le livre de Bruce Schneier « Click here to kill people » résumait d’ailleurs déjà, selon lui, à l’époque très bien les risques inhérents à cette situation.

Pour Yann Allain, ces différentes problématiques de sécurité des objets connectés sont principalement dues à un manque de maturité de la filière IoT. Comment faire pour se protéger alors ? L’IoT représente une très grande surface d’attaque, pourtant les personnes qui sécurisent ces objets se limitent souvent à la sécurité du hardware et du soft embarqué, alors qu’il y aussi la partie communication radio et filaire. Il est essentiel de sécuriser toute la chaîne IoT dans son ensemble. En la matière, l’ultra-spécialisation des acteurs représente, selon lui, un frein. De leur côté, les référentiels IoT sont actuellement en cours de construction au niveau européen. Toutefois, ils sont multiples et variés, et le nombre d’exigences à respecter pourra très rapidement se démultiplier en fonction du secteur d’activité et de la finalité de l’objet.

De son côté, Serma Safety & Security recommande de mettre en place un SDLC IoT : un cycle de développement sécurisé, de la conception jusqu’à la fin de vie de l’objet. De plus, Yann Allain donne un conseil essentiel aux entreprises. En effet, des vulnérabilités il y en aura toujours, explique-t-il, c’est pourquoi une entreprise ne peut pas transiger sur la fonction de mise à jour. Patcher le plus rapidement possible est la meilleure manière de réduire les risques en cas de faille de sécurité. Il est également essentiel de savoir comment corriger des systèmes dispatchés à travers le monde. De plus, cette fonction de sécurité doit elle-même être sécurisée.
Autre point de vigilance : ne pas oublier les partenaires dans la sécurisation de l’écosystème IoT. Il faut sécuriser l’ensemble de la chaîne logistique dès la conception d’un objet connecté, car la sécurité en profondeur est la seule pratique qui fonctionne.

Formation : comment s’y retrouver dans une offre diverse et variée ?

Cette sécurité passe aussi par la formation des collaborateurs en entreprise. Mais quelles stratégies existent aujourd’hui pour faire monter en compétences les utilisateurs ? Et comment s’y retrouver dans l’offre diverse et variée des formations en cybersécurité ? Comme l’explique Laurent Buchon, directeur régional, Cnam Bretagne et directeur opérationnel, Cnam Sécurité Défense, c’est un environnement complexe, parfois difficile à décrypter. Pour s’y retrouver, il recommande dans un premier temps à chaque entreprise de définir quelle stratégie elle souhaite mettre en œuvre par rapport à tel ou tel projet. Elle devra ainsi identifier les risques et les opportunités que chaque projet comporte, et définir par la suite les compétences nécessaires à son bon développement.

En matière de cybersécurité, il distingue 4 grands domaines de compétences :
- THINK : gouvernance, politique de sécurité… (champ couvert par le RSSI à 70%) ;
- BUILD : conception et développement « secure by design »… (il s’agit ici de la mission du développeur à 100%) ;
- RUN : phase opérationnelle, supervision, SOC… (le RSSI intervient en moyenne à hauteur de 30% dans ce domaine) ;
- CYBERCRIMINALITÉ : investigation après attaque, remédiation… (c’est ici l’analyste incidents et sécurité qui intervient à 100%).

En fonction des compétences nécessaires à chaque mission et à chaque projet, l’entreprise devra déterminer quelle formation correspond le mieux à ses besoins. Le champ de la cybersécurité couvre de nombreux domaines disciplinaires, comme bien sûr l’électronique, l’informatique, les télécoms, les mathématiques, mais aussi les sciences humaines et sociales. Le facteur humain est effectivement prépondérant en matière de cybersécurité, et tout le monde est aujourd’hui concerné par ces problématiques.

Voici quelques points clés qui vous aideront, selon lui, à décrypter les offres de formation et faire votre choix :
- Privilégier les formations labellisées SecNumedu par l’ANSSI : une cinquantaine de formations ont à ce jour obtenu ce label. La liste est disponible sur le site de l’ANSSI à l’adresse suivante : https://www.ssi.gouv.fr/particulier....
- Opter plutôt pour des établissements certifiants et diplômants (diplômes nationaux, CTI, RNCP, CQP…).
- La modularité est également un facteur à prendre en compte : en effet, dans certains cas, les collaborateurs n’ont pas forcément besoin de suivre une formation en intégralité, mais uniquement certains modules spécifiques pour compléter leurs acquis. Il donc important de se renseigner au préalable sur la modularité de telle ou telle formation, mais aussi sur les prérequis nécessaires.
- Regarder le volume horaires de la formation (durée, nombre d’heures…).
- L’organisation de la formation est aussi un élément à prendre en compte : se fait-elle sur le temps de travail, en e-learning, en alternance… ?
- Enfin, le financement est bien évidemment un aspect à ne pas négliger : quels coûts ? Quelle éligibilité aux différentes sources de financement, etc. ?

Cybersécurité : suivez le guide…

Pour conclure cette matinale du Poool, Yohann Desiles, consultant engineering, Cap’Tronic, est venu présenter un nouveau guide Cap’Tronic destiné aux PME : « Comment maîtriser la cybersécurité de vos objets et systèmes connectés », disponible gratuitement à l’adresse suivante : https://www.captronic.fr/Sortie-du-....
Ce guide a pour objectif de vous présenter les bonnes pratiques à mettre en œuvre pour assurer la sécurité de vos produits connectés. Il vous permettra de structurer votre démarche cybersécurité en vous posant les bonnes questions, de comprendre toutes les dimensions à considérer en matière de sécurité, de vous donner un panorama des solutions existantes et des différents référentiels normatifs et juridiques, mais aussi de vous informer sur les partenaires qui pourraient vous aider.

En outre, les PME pourront également s’appuyer dans leurs démarches de cybersécurité sur le « Guide des bonnes pratiques de l’informatique » de l’ANSSI, réalisé en partenariat avec la CGPME, qui présente les douze règles essentielles pour la sécurité des systèmes d’information des petites et moyennes entreprises : http://www.ssi.gouv.fr/actualite/pe.... En ce qui concerne plus précisément les problématiques de protection des données personnelles et les obligations règlementaires inhérentes au RGPD, elles pourront enfin se référer au guide pratique réalisé par la CNIL et Bpifrance : https://www.cnil.fr/fr/la-cnil-et-b....

 

Source : GLOBAL SECURITY MAG