Cette semaine, le rapport annuel préparatoire au sommet de Davos 2020 (The Global Risks report 2019) du prochain Forum Economique Mondial, qui ouvre ses portes cette semaine, place les cyberattaques dans le top 5 des risques mondiaux.
Chaque année le Forum Economique Mondial (WEF) classe les risques en cinq catégories (économie, environnement, géopolitique, société et technologie) et selon deux axes avec une échelle de 1 à 5 : leur impact et leur probabilité, évalués par plus de 400 experts mondiaux. Cette démarche d'analyse des risques est similaire à celle utilisé pour les SI.
On s'en doutait un peu, mais peut-être pas avec autant de force, les cyberattaques dépassent largement le périmètre des SI, au point d'être un facteur de risque systémique global pour influencer l'avenir de la planète.
GreenSI est allé regarder le rapport du WEF de 2012 pour prendre du recul sur cette évolution, car c'est en 2012 la première fois que ce risque apparaissait aux yeux des experts mondiaux en prenant la 4eme place avec un impact de 3,5 et une note de probabilité de 3,8.
Il y a 7 ans, seuls deux risques atteignaient les 4/5 en impact :
Les cyberattaques, et la perte d'une infrastructure critique d'information (nb: le protocole internet justement a été créé pour résister à ce type défaillances d'infrastructures réseau), rejoignent donc maintenant le club très fermé des risques pouvant avoir le plus d'impact pour la planète, aux côtés des armes de destruction massives et du risque environnemental.
Quelle
prise de conscience pour celles et ceux qui œuvrent au quotidien pour
la sécurité des SI que d'avoir le destin du monde libre entre leurs
mains ! ;-)
Heureusement, pour ces professionnels des SI, cette prise de conscience n'a pas attendu que les sages de Davos se penchent dessus. D'ailleurs dans le dernier billet de GreenSI la cybersécurité est l'un des 5 repères à avoir sur son radar en 2020 pour piloter les SI de l'entreprise dans la transformation digitale.
Aujourd'hui les menaces sont bien réelles et surtout beaucoup plus probables. L'assureur Allianz vient d'ailleurs d'annoncer que le risque d'attaque est devenu le risque le plus important.
Mais ce risque n'est pas lié qu'aux bonnes ou mauvaises pratiques internes comme on pourrait le croire dans une démarche de la sécurité un peu trop normative. La réalité c'est que le contexte géopolitique renforce la vulnérabilité des SI des entreprises, bien au delà de ce que l'on a connu, et pas uniquement pour les opérateurs d'importance vitale.
La dernière crise géopolitique iranienne, suite à la mort du général Soleimanie, peut encore faire des dommages collatéraux dans les entreprises si l'Iran mobilise ses capacités cyber-offensives contre les États-Unis. L'état d'alerte est d'ailleurs monté et les cibles peuvent être n'importe quel symbole très visible et pouvant donner des sueurs froides à l'administration américaine. Mais pour les atteindre, les attaques peuvent passer par des cibles moins stratégiques et provoquer des dommages. Les dommages collatéraux peuvent aussi venir des réponses américaines, comme en 2010 avec le virus Stuxnet, quand ce virus que l'on dit créé par la NSA avec un rôle non officiel d'Israël, a permis de détruire les centrifugeuses Siemens iraniennes d'enrichissement d'uranium. Malheureusement il a également touché des sites industriels, un peu partout dans le monde, qui utilisaient cette même technologie d'automates Siemens...
La sécurité devient de la "cyber-résilience" pour renforcer la capacité des entreprises à répondre à ce type de menaces et de pouvoir continuer de fonctionner en mode dégradé tout en évoluant dans un milieu hostile.
Les systèmes SCADA (Système de Contrôle et d’Acquisition de Données en Temps réel) sont en première ligne. Toutes les entreprises qui les opèrent comme les usines pétrochimiques ou les systèmes de transports maritimes et aériens sont potentiellement visés. Ces systèmes pilotent des machines physiques réelles, et permettent donc d'impacter le monde réel, de le désorganiser voire de l'arrêter. Ce sont autant de "portes" sur le monde réel pour créer des dégâts à distance en passant par le monde virtuel des réseaux et du logiciel. Une alternative à un bombardement réel de l'usine.
L'interconnexion des "supply chain" entre entreprises, la sous-traitance d'activités, rendent difficile l'isolation du SI de l'entreprise qui est nécessairement intégré à son écosystème économique. D'autre part, au sein même de l'entreprise le SI connecté se développe rapidement avec l'internet des objets qui joue un rôle plus important pour la régulation et l'optimisation des processus, transformant l'entreprise digitale en une "grande usine", dont le fonctionnement, de plus en plus temps-réel, n'est pas sans rappeler celui des SCADAs, avec toujours plus de "portes" à sécuriser.
Dans ce contexte de crises géostratégiques, la motivation financière des attaques n'a bien sûr pas disparue. Elle s'est même sophistiquée et en Europe la responsabilité de l'entreprise s'est étendue avec sa responsabilité pour la protection des données clients (RGPD).
Les ransomwares sont depuis 3 ans le moyen d'extorquer des fonds aux entreprises. Les entreprises se sont adaptées, même si elles ont encore beaucoup de travail pour suivre la sophistication toujours croissante des attaques. L'arrivée de l'intelligence artificielle montera encore plus haut le niveau des attaques et donc celui des réponses.
Gagner la prochaine bataille de la cyber-résilience nécessite de nouvelles armes et une approche de la sécurité plus dynamique, voire plus offensive. Elle demande bien sûr plus de moyens. C'est ce qui est en train de se mettre en place dans les entreprises les plus exposées. Le Forum International de la Cybersécurité à Lille du 28 au 30 janvier, la référence en Europe sur la "cyber" et la confiance numérique, sera l'occasion de faire le point sur ces nouvelles menaces et les avancées des entreprises.
Les équipes sécurité sont donc amenées à être étoffées. Leur moyens d'action en matière de cybersécurité amenés à être déployées jusqu'aux avant-postes de l'entreprise et du réseau, pour suivre les comportements suspects. Le CISO, responsable de la sécurité des SI, a un rôle opérationnel, autant pour le renforcement de la sécurité, que pour la conduite des opérations lors des attaques, en coordination avec les moyens externes ou gouvernementaux.
Dans ces futurs conflits, les employés sont formés en amont pour réduire les risques, mais également adopter le bon comportement sur le terrain lors des attaques, comme défenseurs des actifs numériques de leur entreprise.
La cyber-résilience est devenue essentielle pour développer les activités de l'entreprise en toute confiance.Elle résulte du croisement du développement de la transformation digitale et de l'augmentation des risques de cyberattaques. La cyber-résilience se pense avec tout son écosystème (partenaires, fournisseurs, tiers...), ce qui n'est pas toujours simple dans le monde secret de la sécurité. Elle demande de nouvelles collaborations et cherche même de nouveaux alliés.
L'importance des systèmes d'information fait que le monde économique repose maintenant sur elle !
Chaque année le Forum Economique Mondial (WEF) classe les risques en cinq catégories (économie, environnement, géopolitique, société et technologie) et selon deux axes avec une échelle de 1 à 5 : leur impact et leur probabilité, évalués par plus de 400 experts mondiaux. Cette démarche d'analyse des risques est similaire à celle utilisé pour les SI.
On s'en doutait un peu, mais peut-être pas avec autant de force, les cyberattaques dépassent largement le périmètre des SI, au point d'être un facteur de risque systémique global pour influencer l'avenir de la planète.
GreenSI est allé regarder le rapport du WEF de 2012 pour prendre du recul sur cette évolution, car c'est en 2012 la première fois que ce risque apparaissait aux yeux des experts mondiaux en prenant la 4eme place avec un impact de 3,5 et une note de probabilité de 3,8.Il y a 7 ans, seuls deux risques atteignaient les 4/5 en impact :
- l'effondrement du système financier (probabilité faible mais on sortait de la crise de 2009)
- et une crise pour la fourniture en eau (probabilité plus forte, cf le monde arabe est en stress-hydrique).
Les cyberattaques, et la perte d'une infrastructure critique d'information (nb: le protocole internet justement a été créé pour résister à ce type défaillances d'infrastructures réseau), rejoignent donc maintenant le club très fermé des risques pouvant avoir le plus d'impact pour la planète, aux côtés des armes de destruction massives et du risque environnemental.
Quelle
prise de conscience pour celles et ceux qui œuvrent au quotidien pour
la sécurité des SI que d'avoir le destin du monde libre entre leurs
mains ! ;-)Heureusement, pour ces professionnels des SI, cette prise de conscience n'a pas attendu que les sages de Davos se penchent dessus. D'ailleurs dans le dernier billet de GreenSI la cybersécurité est l'un des 5 repères à avoir sur son radar en 2020 pour piloter les SI de l'entreprise dans la transformation digitale.
Aujourd'hui les menaces sont bien réelles et surtout beaucoup plus probables. L'assureur Allianz vient d'ailleurs d'annoncer que le risque d'attaque est devenu le risque le plus important.
Mais ce risque n'est pas lié qu'aux bonnes ou mauvaises pratiques internes comme on pourrait le croire dans une démarche de la sécurité un peu trop normative. La réalité c'est que le contexte géopolitique renforce la vulnérabilité des SI des entreprises, bien au delà de ce que l'on a connu, et pas uniquement pour les opérateurs d'importance vitale.
La dernière crise géopolitique iranienne, suite à la mort du général Soleimanie, peut encore faire des dommages collatéraux dans les entreprises si l'Iran mobilise ses capacités cyber-offensives contre les États-Unis. L'état d'alerte est d'ailleurs monté et les cibles peuvent être n'importe quel symbole très visible et pouvant donner des sueurs froides à l'administration américaine. Mais pour les atteindre, les attaques peuvent passer par des cibles moins stratégiques et provoquer des dommages. Les dommages collatéraux peuvent aussi venir des réponses américaines, comme en 2010 avec le virus Stuxnet, quand ce virus que l'on dit créé par la NSA avec un rôle non officiel d'Israël, a permis de détruire les centrifugeuses Siemens iraniennes d'enrichissement d'uranium. Malheureusement il a également touché des sites industriels, un peu partout dans le monde, qui utilisaient cette même technologie d'automates Siemens...
La sécurité devient de la "cyber-résilience" pour renforcer la capacité des entreprises à répondre à ce type de menaces et de pouvoir continuer de fonctionner en mode dégradé tout en évoluant dans un milieu hostile.
Les systèmes SCADA (Système de Contrôle et d’Acquisition de Données en Temps réel) sont en première ligne. Toutes les entreprises qui les opèrent comme les usines pétrochimiques ou les systèmes de transports maritimes et aériens sont potentiellement visés. Ces systèmes pilotent des machines physiques réelles, et permettent donc d'impacter le monde réel, de le désorganiser voire de l'arrêter. Ce sont autant de "portes" sur le monde réel pour créer des dégâts à distance en passant par le monde virtuel des réseaux et du logiciel. Une alternative à un bombardement réel de l'usine.
L'interconnexion des "supply chain" entre entreprises, la sous-traitance d'activités, rendent difficile l'isolation du SI de l'entreprise qui est nécessairement intégré à son écosystème économique. D'autre part, au sein même de l'entreprise le SI connecté se développe rapidement avec l'internet des objets qui joue un rôle plus important pour la régulation et l'optimisation des processus, transformant l'entreprise digitale en une "grande usine", dont le fonctionnement, de plus en plus temps-réel, n'est pas sans rappeler celui des SCADAs, avec toujours plus de "portes" à sécuriser.
Dans ce contexte de crises géostratégiques, la motivation financière des attaques n'a bien sûr pas disparue. Elle s'est même sophistiquée et en Europe la responsabilité de l'entreprise s'est étendue avec sa responsabilité pour la protection des données clients (RGPD).
Les ransomwares sont depuis 3 ans le moyen d'extorquer des fonds aux entreprises. Les entreprises se sont adaptées, même si elles ont encore beaucoup de travail pour suivre la sophistication toujours croissante des attaques. L'arrivée de l'intelligence artificielle montera encore plus haut le niveau des attaques et donc celui des réponses.
Gagner la prochaine bataille de la cyber-résilience nécessite de nouvelles armes et une approche de la sécurité plus dynamique, voire plus offensive. Elle demande bien sûr plus de moyens. C'est ce qui est en train de se mettre en place dans les entreprises les plus exposées. Le Forum International de la Cybersécurité à Lille du 28 au 30 janvier, la référence en Europe sur la "cyber" et la confiance numérique, sera l'occasion de faire le point sur ces nouvelles menaces et les avancées des entreprises.
Les équipes sécurité sont donc amenées à être étoffées. Leur moyens d'action en matière de cybersécurité amenés à être déployées jusqu'aux avant-postes de l'entreprise et du réseau, pour suivre les comportements suspects. Le CISO, responsable de la sécurité des SI, a un rôle opérationnel, autant pour le renforcement de la sécurité, que pour la conduite des opérations lors des attaques, en coordination avec les moyens externes ou gouvernementaux.
Dans ces futurs conflits, les employés sont formés en amont pour réduire les risques, mais également adopter le bon comportement sur le terrain lors des attaques, comme défenseurs des actifs numériques de leur entreprise.
La cyber-résilience est devenue essentielle pour développer les activités de l'entreprise en toute confiance.Elle résulte du croisement du développement de la transformation digitale et de l'augmentation des risques de cyberattaques. La cyber-résilience se pense avec tout son écosystème (partenaires, fournisseurs, tiers...), ce qui n'est pas toujours simple dans le monde secret de la sécurité. Elle demande de nouvelles collaborations et cherche même de nouveaux alliés.
L'importance des systèmes d'information fait que le monde économique repose maintenant sur elle !
Le 16 juin se tenait la 4eme matinée 
Thierry Floriani, RSSI de Numergy, un opérateur français de Cloud
ayant notamment mis en place un SOC - 
Autre démonstration par Sébastien Gioria, leader du Chapitre Française de l'OWASP, qui a pris l'exemple des véhicules connectés. Les applications qui permettent
de localiser son véhicule et d'activer certaines fonctions à distance,
existent dans les stores d'applications mobiles depuis quelques temps.
La sécurité du SI c'est aussi celle de ses investissements.
Avec
ces recommandations je suis sûr que vous vous sentez maintenant l'âme
d'affronter les corsaires, ou d'aller vous rassurer sur la sécurité de
vos applications internet auprès de vos équipes informatiques.... si
vous avez pensé à bien les associer à votre stratégie digitale.
