Comment gérer le phénomène de la cyber sécurité
Transcription
Comment gérer le phénomène de la cyber sécurité
Comment gérer le phénomène de la cyber sécurité ? Agir maintenant, avant qu’il ne soit trop tard L’International Business Report (IBR) de Grant Thornton est un sondage annuel réalisé auprès de dirigeants d’entreprises (2500 capitaines d’industries dans 35 secteurs économiques). Ce sondage révèle qu’au cours des 12 derniers mois, plus de 15 % des entreprises à travers le monde ont subi une cyber-attaque, pour un coût total de plus de 300 Md$. Même si aucune région dans le monde n’est réellement épargnée, les organisations d’Amérique du Nord et d’Europe sont les plus ciblées. Sur ces deux continents, la part des entreprises piratées au cours de l’année écoulée atteint respectivement 18 et 19 %. Il ne sagit que du sommet de l’iceberg et des coûts mesurables. Qu’en est-il de l’atteinte à la réputation et de la perte de confiance des clients qu’il faut ajouter aux conséquences du phénomène ? 1€ pour se défendre, 4€ pour réparer La finance, cible n°1 des cyber-attaques Les dommages les plus importants causés par le cyber-crime sont toutefois localisés sur la zone Asie-Pacifique, où le montant total des préjudices s’est élévé à 81,3 Md$. En Europe, les organisations ont laissé plus de 62 Md$ (57 milliards d’euros) « sur la table » en raison des cyberattaques dont elles ont été victimes (la somme est similaire en Amérique du Nord). Rappelons que, selon le Gartner, la dépense globale en cyber-sécurité a atteint 77 Md$ en 2015. Le cabinet d’études s’attend à ce que ce montant soit porté à 101 Md$ en 2018. Autrement dit, les entreprises subissent quatre fois plus de dommages liés à des cyber-attaques, qu’elles ne consacrent de budget à se protéger. Nous estimons que les cyber-attaques coûtent en moyenne l’équivalent de 1,2 % du chiffre d’affaires des entreprises qui en sont les victimes. Un ratio significatif qui, dans bien des secteurs, représente peu ou prou le niveau de rentabilité nette des organisations. Les attaques visent avant tout le secteur financier (74 % des entreprises se déclarent menacées), le plus « alléchant » pour les pirates. 26 % des cyberattaques recensées le prennent pour cible. À l’inverse, le secteur des transports est épargné, avec seulement 1 entreprise sur 10 ciblée au cours des 12 derniers mois. Malgré cet inquiétant constat, seules 52 % des entreprises interrogées affirment avoir mis en place une politique de sécurité IT. Les auteurs de cyber-attaques sont souvent des organisations criminelles sophistiquées, disposant de ressources importantes. Avec la numérisation des activités de l’entreprise au sens large, il est aujourd’hui essentiel que chaque organisation appréhende cette menace de manière très sérieuse, car ce type de délit pourrait continuer d’augmenter, tant en fréquence qu’en ampleur, explique Jocelyn Grignon, Directeur de la ligne de services audit IT et sécurité de Grant Thornton. La vigilance ne suffit plus à assurer la sécurité IT des entreprises et des mesures proactives sont devenues nécessaires. Cet enjeu doit devenir de toute urgence un point d’orgue au sein des conseils d’administration et services informatique de chaque société. SEULES 52 % des grandes entreprises internationales ont mis en place une politique de cyber- sécurité Alexis GRIN Associé, Directeur de la ligne de services Audit et Sécurité des systèmes d’information Grant Thornton France La chaÎne d’approvisionnement du cyber-crime est très sophistiquée, profondément implantée dans des réseaux parallèles, axée sur le commerce et fortement externalisée. Les cyber-attaquants : identité, motivation, tactiques Les motivations de la cyber-criminalité Le profil des cyber-attaquants (qui agissaient isolément), a évolué vers une économie sousterraine motivée par le profit et pilotée par des entités organisées, agiles, disposant de solides compétences et qui opèrent généralement à l’échelle internationale. Cette situation complique grandement la tâche des agences nationales de lutte contre le crime et des tribunaux. Ces entités utilisent de plus en plus des chaînes d’approvisionnement parallèles pour développer, distribuer et déployer des logiciels malveillants personnalisés, utilisés pour mener des attaques. La nouvelle étude de Grant Thornton estime que l’impact des coûts directs liés à la cyber-criminalité pour les entreprises est évalué à plus de 300 milliards de $ US par an au niveau mondial. Le gain financier est la principale motivation de la cybercriminalité, cependant d’autres raisons peuvent motiver les cyberattaques. Des pirates se revendiquant de l’organisation Etat Islamique (EI) ont affiché des messages de propagande djihadistes sur les réseaux sociaux, notamment la page Facebook et le compte Twitter de TV5 Monde. Les sites Internet de la chaîne ont été détournés et la diffusion de l’attaque au sein du réseau interne a eu pour conséquence une interruption des programmes de télévision. La récente divulgation par des «hacktivitstes» d’informations personnelles des clients du site de relations extra conjugales Ashley Madison, répondait à impératif moral. En 2013, le groupe de hackers Anonymous avait attaqué les sites Web de PayPal, Visa et Mastercard pour avoir suspendu les dons faits au site Wikileaks. Un certain nombre de gouvernements ont été accusés de sponsoriser des attaques ciblant la propriété intellectuelle et les secrets industriels des entreprises, dans le but d’obtenir un avantage concurrentiel dans une économie mondialisée. Le vol de propriété intellectuelle existe aussi au niveau des entreprises. Les pirates attaquent également les entreprises dans le but de démontrer leur faiblesse, et donc l’incapacité à pouvoir leur faire confiance. En Juillet 2015, Fiat Chrysler a été contraint de rappeler 1,4 millions de véhicules à la suite de la mise en évidence d’une faille de sécurité du logiciel ayant permis au moteur d’être désactivé à distance. Les techniques d’attaque Bien que les techniques d’attaque varient, l’augmentation du nombre d’incidents a permis aux observateurs avertis d’identifier un modèle comportemental derrière les motivations, les tactiques et la localisation de l’origine de l’attaque. Les attaques originaires de Russie ciblent les informations financières personnelles pouvant être revendues rapidement pour un gain financier immédiat. Les attaques provenant de Chine, ou des pays associés, ont tendance à cibler la propriété intellectuelle détenue par un éventail d’organisations, tels que les établissements d’enseignement ainsi que les entreprises du secteur de la santé et de l’univers technologique. Les attaquants « Savvy » utilisent la technologie pour masquer leur emplacement, ou même voler l’identité d’un utilisateur local - un employé au sein de l’organisation ciblée avec les droits de « super-utilisateur », par exemple - pour lancer une offensive. Le Phishing - l’utilisation de faux sites se faisant passer pour le « vrai » est une tactique populaire et utilisée depuis longtemps pour obtenir les informations personnelles et financières de clients peu méfiants. Les attaques par Déni de Service Distribué (DDoS) sont de plus en plus répandues – avec pour objectif d’empêcher les sites de fonctionner efficacement. Les attaques par déni de service peuvent aussi servir de moyen de distraction et masquer une attaque plus ambitieuse, aux conséquences plus graves. TypologieS des motivationS Gain financier, croisade morale, vol de propriété intellectuelle, révélation de failles technologiques, blanchiment d’argent, blocage des accès, ennui. Lionel BENAO Manager Grant Thornton France Les cyber-attaques sont en augmentation... À quel point êtes-vous vulnérables ? Selon l’étude de Grant Thornton, plus d’une entreprise sur six a fait face à une cyber-attaque durant les 12 derniers mois (15 %). Les entreprises de l’Union Européenne (19 %) et d’Amérique du Nord (18 %) étaient les plus fortement ciblées. Les entreprises sont plus vulnérables aux cyber-attaques que ce qu’elles imaginent, en particulier celles ayant des « empreintes numériques » importantes (Cloud Computing, réseaux sociaux, externalisation, BEYOD…). L’heure de la demande de services portant sur la cyber-sécurité et de la reconnaissance de l’importance des contrôles de cybersécurité est venue, et pour la plupart, dans l’industrie des services financiers. Cependant, d’autres secteurs qui sont de plus en plus axés sur la technologie – commerce de détail, l’industrie et les médias, par exemple – prennent désormais acte de cette situation. Les organisations de taille moyenne sont tout aussi vulnérables que les grandes entreprises. Les attaquants vont étendre leurs actions aux quatre coins du globe sans distinction de taille. L’importance croissante de la technologie dans nos vies professionnelle et personnelle va augmenter le risque d’exposition à la cyber-criminalité. « L’Internet des objets », en particulier, qui reliera nos appareils de communication, nos voitures et nos maisons, va offrir aux pirates de nouveaux vecteurs d’intrusion. Les vieilles avenues ne doivent cependant pas être oubliées. Les systèmes de technologie classiques, qui sont plus susceptibles d’être mal protégés, continueront aussi d’être exploités. La majorité des entreprises n’ont pas la totale maîtrise de ce qui se passe dans leur réseau informatique. Elles ne seraient pas en mesure de détecter systématiquement une activité suspecte ou d’évaluer cette activité grâce à des systèmes sensibles au contexte et comportement. Voilà l’une des faiblesses que je constate au sein des entreprises françaises, c’est-à-dire de ne pas disposer d’une capacité à détecter de manière systématique des transactions frauduleuses. Une approche agile, souple et résiliente mériterait d’être mise en œuvre. Emilie Candas Senior Manager Grant Thornton France Les cyber-criminels sont constamment à la recherche de faiblesses dans la défense d’une entreprise (telles que l’absence de mécanismes de supervision du niveau de sécurité de l’infrastructure informatique ou le fait de ne pas avoir de gardes de sécurité à l’entrée de son site), et la majorité des entreprises ont encore des efforts à fournir sur cet aspect de surveillance du SI. Les entreprises deviennent encore plus sensibles aux attaques à mesure que leur empreinte numérique se développe pour intégrer leur chaîne approvisionnement, y compris les prestataires et la sous-traitance. Nous pouvons sans aucun doute parler d’analogie avec la fameuse face immergée de l’iceberg. Nous devons nous attendre à une augmentation certaine du nombre de cyberattaque dans un avenir proche, car de toute évidence, les gains financiers frauduleux sont concrets et d’autre part les cyber-criminels innovent continuellement, afin d’exploiter les faiblesses des organisations, des processus, des infrastructures technologiques et des individus. Georges de MONTGOLFIER Senior Manager Grant Thornton France Quels sont les défis et les problématiques des entreprises ? En dépit de ces risques et vulnérabilités, notre étude a révélé étonnamment que 48 % des entreprises se mettent en difficulté, et ce par une absence de stratégie globale qui devrait être implémentée et qui permettrait de prévenir des actes de cyber-criminalité. De nombreuses organisations sous-estiment la valeur de leurs actifs qui justifieraient une cyber-attaque. La réponse des petites et moyennes entreprises est souvent de plaider un manque de ressources. Mais le manque de sensibilisation de la direction à l’importance de la cyber-sécurité est la principale raison pour laquelle la cyber-criminalité n’est pas priorisée. La Cyber-sécurité présente un risque élevé, mais je pense que la façon de voir les choses est de considérer l’impact et les conséquences plutôt que de partir d’un point de vue directement orienté sur les risques. Quel impact aurait une cyber-attaque ? Avons-nous réalisé une évaluation permettant d’identifier quels seraient les effets sur notre SI, nos métiers, notre capacité à produire et à servir nos clients ? La Cyber-sécurité doit être une priorité si elle est une menace pour la résilience de l’entreprise. Manu SHARMA Associé Grant Thornton UK À mesure que les organisations renforcent leur présence en ligne et interagissent avec leurs partenaires par le biais de nouveaux outils connectés, dans un environnement de confiance – où les données et les systèmes sont partagés, par exemple – la surface d’attaque pour les pirates continue d’augmenter. La plupart des grandes organisations sont capables de sécuriser leur réseau. Mais, comme de plus en plus d’entre elles augmentent leur utilisation de services externalisés, connectés et des technologies tierces, les défis autour de la prévention, de la détection des cyber-attaques et des infractions augmentent également. Rikki SORENSEN Associé Raymond Chabot Grant Thornton Canada Comment les organisations peuvent-elles protéger leurs actifs ? Les organisations ne peuvent pas prétendre être complètement protégées contre les cyber-attaques, mais il est essentiel d’avoir une politique de cyber-sécurité en place, évaluée en permanence pour son efficacité. Il n’existe pas une méthodologie sur « étagère » pour une approche commune et unifiée de la cyber-sécurité. Cependant les stratégies qui fonctionnent sont construites autour de trois piliers : les individus, les processus et la technologie. Les organisations qui comprennent ces principes, éduquent leurs collaborateurs pour être leur première ligne de défense, afin de développer une culture de sensibilisation à la sécurité. Ils mettent en œuvre les processus de sécurité appropriés et ils utilisent la technologie pour les implémenter, quand cela est nécessaire. Qu’est-ce que cela signifie dans la pratique ? Les stratégies de Cybersécurité doivent être adaptées afin de répondre aux besoins opérationnels et culturels des organisations, en tenant compte des exigences réglementaires et en se concentrant sur ce qui doit être protégé plutôt que d’offrir une couverture globale. L’identification des priorités pour la protection commence par une évaluation des risques et l’analyse des failles. La réévaluation continue est importante afin de veiller à ce que les zones identifiées d’une organisation soient toujours protégées. Le véritable objectif est de mettre en place une culture collective au sein de l’organisation afin de favoriser la responsabilisation et le fait que les actions quotidiennes des collaborateurs, (telles que cliquer sur un lien dans un courriel inconnu) puissent causer de graves préjudices à l’organisation. Elodie LASZKEWYCZ Senior Manager Grant Thornton France Création de politiques efficaces en matière de cyber-sécurité : les pièges à surveiller Manque d’engagement de la part de la direction - Les politiques qui manquent de robustesse et de profondeur, - Les politiques efficaces doivent détailler les procédures, les mécanismes et les contrôles, - L es procédures de communication et les processus de surveillance. L’absence de réactivité quant à la mise à jour des formations, des politiques et des procédures afin de refléter la nature évolutive de la cyber menace Le retard dans l’alignement des personnes, des processus et des technologies concernant cette menace mouvante, changeante et complexe. Le manque de compétences et de capacités internes permettant de mettre en œuvre des politiques de cybersécurité efficaces La rédaction de politiques trop techniques, que ne peuvent pas s’approprier les employés et les collaborateurs. Le défi est de créer une politique, des guides et des formations qui soient pertinents afin de construire une culture de sensibilisation et d’accompagnement, et ne pas seulement se limiter à la conformité pour former et sensibiliser. Grégoire de VERGNETTE Manager Grant Thornton France Les conséquences de l’inaction Echouer dans la consolidation de sa cyber-défense peut être coûteux et menacer la survie de l’entreprise. Les conséquences financières directes que subit une organisation ne tiennent pas compte sur le long terme de l’atteinte à la réputation et la perte de confiance dont elle souffre lorsque ses systèmes sont infiltrés. Les dommages opérationnels peuvent durer des mois. Quand le géant du divertissement Sony US a été piraté en 2014, il a été incapable de fournir ses états financiers au début de 2015 parce que ses systèmes n’étaient pas totalement redevenus opérationnels. La prise de conscience est indispensable Les cyber-criminels sont en nombre croissant et défient les stéréotypes. Les victimes ne peuvent jamais savoir si leur prédateur est un État-nation, un concurrent de l’entreprise, un gang criminel ou un adolescent qui s’ennuie. L’augmentation des systèmes technologiques complexes et interconnectés facilite l’anonymat des attaquants et renforce leur capacité à avancer masqués. Ils pourraient être de l’autre côté du monde ou dans la pièce d’à côté... Lorsque l’ennemi est insaisissable, la défense est la meilleure forme d’attaque. Le point de départ est une stratégie de cyber-sécurité étanche. Les cadres supérieurs doivent mener leur organisation de l’avant, en vantant l’importance de la cyber-sécurité et en étant convaincus de se qu’ils avancent. Les employés doivent jouer leur rôle, en incluant un cyber comportement adéquat dans leur activité professionnelle quotidienne. Plus largement le monde de l’entreprise doit commencer à valoriser la cyber-sécurité comme un indicateur de réussite de l’organisation. Ces mesures ne peuvent pas arrêter le 00.01 % des pirates déterminés ou les plus qualifiés qui ont des vues sur les atouts et les actifs les plus précieux d’une organisation, mais ils vont arrêter les 99,99 % des agresseurs qui se contentent actuellement de pousser une porte ouverte. La reconstruction des systèmes informatique peut être fastidieuse et coûteuse. Le temps consacré par les équipes métiers et experts à affronter les retombées d’une cyberattaque peut souvent dépasser le coût direct de l’attaque elle-même, tandis que les amendes réglementaires peuvent représenter une dépense supplémentaire. À plus long terme, le vol de la propriété intellectuelle peut endommager de façon permanente les avantages et l’avance concurrentiels qu’une entreprise avait sur ses rivaux. Sans compter la perte de confiance des clients quant aux transactions en ligne… Paul JACOBS Associé Grant Thornton Irlande Panorama des risques « cybers » La vision de GRANT THORNTON QUI ? Crime organisé Etats / Nations Collaborateur Interne Tiers Hacker isolé Hacktivistes RÉSEAU CYBER CRIMINEL COMMENT ? Spam Spear Phishing Social Engineering Déni de service : Bosnets or Zombies Sites Web Compromis Code malicieux : Malwares, advanced Persistant Theats et Zero-Days attacks Cloud, réseaux sociaux, outils de communication externe Internet Vecteurs d’attaques externes Vecteurs d’attaques INternes CONSÉQUENCES Infrastructure des Partenaires commerciaux Portail Internet / Web BEYOD Equipemeents Mobiles Email Accès Distant Collaborateur Accès WIFI Système d’information Collaborateur malveillant Vol / Perte de données Accès Clients Collaborateur négligent Vol d’identité Accès non autorisé Fournisseur(s) et sous-traitant(s) Vol détournemant de fonds Accès non autorisé Systéme indisponible Invités et Visiteurs Destruction de données Altération de l’image de marque Une offre qui couvre toute la chaîne de valeur Grant Thornton et ITrust ont signé à Paris, un partenariat stratégique permettant aux auditeurs financiers et risques d’évaluer la cyber sécurité des entreprises. - Grant Thornton, Groupe leader d’audit et de conseil en France et dans le monde, et ITrust, spécialiste français de solutions innovantes en cyber-sécurité, annoncent le lancement de nouveaux services permettant d’inclure les problématiques de cyber sécurité dans le reporting des Commissaires aux comptes du groupe. - Grant Thornton et ITrust créent ainsi un partenariat innovant dans le monde de l’Audit grâce à l’utilisation de la solution IKare, permettant de scanner les vulnérabilités des systèmes d’information et de mesurer le risque des entreprises liées à la cybersécurité. GRANT THORNTON et Itrust, une expertise partagéE dans le domaine cyber Protéger votre organisation, son savoir, ses savoir-faire. Itrust Acteur majeur de la sécurité informatique en France, ITrust dispose de profils ingénieurs sécurité à forte compétence technique et propose un outillage technologique automatisée répondant aux besoins de l’état de l’art. La gouvernance , la gestion du risque et la production de rapport ( KRI / KPI ) qui permettent de couvrir les incidents et les infractions en matière de cyber-sécurité : - Cartographier les équipements et établir un reporting détaillé de la situation des SI avec Ikare, - Permettre aux équipes dirigeantes et techniques de maintenir un niveau de sécurité informatique optimal. GRANT THORNTON Grant Thornton, groupe leader d’Audit et de Conseil, rassemble en France 1 700 collaborateurs dont 117 associés dans 22 bureaux, en se positionnant sur 5 métiers : Audit, Expertise Conseil, Conseil Financier, Conseil Opérationnel & Outsourcing et Conseil Juridique et Fiscal. Des prestations uniques de conseils « sur étagère ». Conseil en Cyber-assurance : Acceptation Formelle du risque et mise en place d’une assurance couvrant les risques non atténués. Analyse technico-Economique de la cyber-sécurité : Confronter un risque diffus et polymorphe avec une consommation de ressources réelle, ciblée et par définition, limitée. Un fonctionnement selon un mode agile et non intrusif Un diagnostic cyber flash complété par la solution de gestion des vulnérabilités IKare, qui analyse les réseaux informatiques et détecte les équipements mal configurés et les défaillances de sécurité. Dialoguer à armes égales dans l’entreprise avec les instances décisionnaires, les directions fonctionnelles et les équipes experts en SSI… 23 PLUS DE 200 5 PAYS EXPERTS DÉDIÉS (2016) CONTINENTS Cyber Risk management : une initiative mondiale chez Grant Thornton Expertiser la cause et les conséquences Stopper l’attaque Adapter à la menace Maintenir Diagnostiquer Remettre en question Expertiser Réparer Mettre à niveau Communiquer (communication de crise)