Comme vous, j’ai pris connaissance de la récente attaque qui a notamment touché plusieurs grandes entreprises comme Renault par exemple. Elle fait suite aux cyber-attaques constatées durant l’élection présidentielle française, elle-même succédant à celles constatées durant l’élection américaine, elle-même succédant à celles de Yahoo, Sony, TV5 monde, etc.
Au-delà du constat d’accélération du nombre de cas médiatisés de cyber-attaques, qui sont portées aux yeux et aux oreilles du grand public de par leurs ampleurs, c’est le niveau des techniques qu’utilisent les pirates qui me plonge dans un état de questionnement profond.
En effet, sur la base des informations qui nous sont accessibles, il apparait que les pirates utilisent des techniques relativement classiques (WannaCrypt est loin d'être une nouveauté...) et dont certaines peuvent être qualifiées de très anciennes à l’échelle du numérique.
Or, ces attaques, classiques je le répète, apparaissent dans un contexte particulier de transformation digitale que connaissent toutes les entreprises et les institutions. Cette transformation est la conséquence de la révolution numérique que nous vivons et qui entraine une multiplication des points d’entrée sur les systèmes d’informations : aujourd’hui les smartphones et tablettes, demain les objets connectés.
Elle implique également des changements d’architecture du système d’information qui peuvent dans certains cas rendre inadaptées ou inopérantes les solutions de sécurité actuellement installées.
Alors que les pirates s’organisent et se professionnalisent, beaucoup trop d’entreprises sont complètement prises de vitesse face aux cyber-menaces auxquelles elles sont exposées. Malheureusement, cela laisse présager d’une médiatisation de plus en plus importante de nouveaux cas d’attaques.
Face à ce constat, nos recommandations sont les suivantes :
- Les entreprises doivent profiter de leur transformation digitale pour réviser de fond en comble leur système de protection afin de les rendre complets et adaptés.
- Peut-être pourront-elles en profiter pour harmoniser l’ensemble de leur système d’information afin de faciliter sa maitrise et donc sa protection.
- Le poids hiérarchique des directeurs de la sécurité doit être renforcé afin qu’ils puissent avoir une indépendance dans leurs prises de décisions, une obligation d’accompagnement voire même un droit de veto sur les projets s’ils le jugent utile.
Enfin, face à ces ambitions, il faut y mettre les moyens. La sécurité ne se traite pas au lance-pierres. Il est important de comprendre qu’un engagement budgétaire dans la cyber-sécurité n’est pas une dépense mais un investissement.
A ceux qui seraient dubitatifs sur ce point, je les invite à prendre connaissance des conséquences budgétaires liées aux attaques de Sony, Yahoo et Renault, récemment contraint de stopper un site de production.