Comment gérer le phénomène de la cyber sécurité

Comment gérer le phénomène de la cyber sécurité ?
Agir maintenant, avant qu’il ne soit trop tard
L’International Business Report (IBR) de Grant Thornton est un sondage annuel réalisé auprès de dirigeants d’entreprises
(2500 capitaines d’industries dans 35 secteurs économiques). Ce sondage révèle qu’au cours des 12 derniers mois, plus de 15
% des entreprises à travers le monde ont subi une cyber-attaque, pour un coût total de plus de 300 Md$. Même si aucune région
dans le monde n’est réellement épargnée, les organisations d’Amérique du Nord et d’Europe sont les plus ciblées. Sur ces deux
continents, la part des entreprises piratées au cours de l’année écoulée atteint respectivement 18 et 19 %. Il ne sagit que du sommet
de l’iceberg et des coûts mesurables. Qu’en est-il de l’atteinte à la réputation et de la perte de confiance des clients qu’il faut ajouter
aux conséquences du phénomène ?
1€ pour se défendre,
4€ pour réparer
La finance, cible n°1
des cyber-attaques
Les dommages les plus importants causés par le cyber-crime sont
toutefois localisés sur la zone Asie-Pacifique, où le montant total des
préjudices s’est élévé à 81,3 Md$. En Europe, les organisations ont laissé
plus de 62 Md$ (57 milliards d’euros) « sur la table » en raison des cyberattaques dont elles ont été victimes (la somme est similaire en Amérique
du Nord).
Rappelons que, selon le Gartner, la dépense globale en cyber-sécurité a
atteint 77 Md$ en 2015. Le cabinet d’études s’attend à ce que ce montant
soit porté à 101 Md$ en 2018. Autrement dit, les entreprises subissent
quatre fois plus de dommages liés à des cyber-attaques, qu’elles ne
consacrent de budget à se protéger.
Nous estimons que les cyber-attaques coûtent en moyenne l’équivalent de
1,2 % du chiffre d’affaires des entreprises qui en sont les victimes.
Un ratio significatif qui, dans bien des secteurs, représente peu ou prou
le niveau de rentabilité nette des organisations. Les attaques visent avant
tout le secteur financier (74 % des entreprises se déclarent menacées),
le plus « alléchant » pour les pirates. 26 % des cyberattaques recensées
le prennent pour cible. À l’inverse, le secteur des transports est épargné,
avec seulement 1 entreprise sur 10 ciblée au cours des 12 derniers mois.
Malgré cet inquiétant constat, seules 52 % des entreprises interrogées
affirment avoir mis en place une politique de sécurité IT.
Les auteurs de cyber-attaques sont souvent des
organisations criminelles sophistiquées, disposant de
ressources importantes. Avec la numérisation des activités
de l’entreprise au sens large, il est aujourd’hui essentiel
que chaque organisation appréhende cette menace
de manière très sérieuse, car ce type de délit pourrait
continuer d’augmenter, tant en fréquence qu’en ampleur,
explique Jocelyn Grignon, Directeur de la ligne de services
audit IT et sécurité de Grant Thornton. La vigilance ne
suffit plus à assurer la sécurité IT des entreprises et des
mesures proactives sont devenues nécessaires. Cet enjeu
doit devenir de toute urgence un point d’orgue au sein
des conseils d’administration et services informatique de
chaque société.
SEULES
52 %
des grandes entreprises
internationales ont mis
en place une politique
de cyber- sécurité
Alexis GRIN
Associé, Directeur de la ligne de services
Audit et Sécurité des systèmes d’information
Grant Thornton France
La chaÎne d’approvisionnement du cyber-crime est très sophistiquée, profondément implantée
dans des réseaux parallèles, axée sur le commerce et fortement externalisée.
Les cyber-attaquants :
identité, motivation, tactiques
Les motivations de la
cyber-criminalité
Le profil des cyber-attaquants (qui agissaient isolément), a évolué vers
une économie sousterraine motivée par le profit et pilotée par des
entités organisées, agiles, disposant de solides compétences et qui
opèrent généralement à l’échelle internationale. Cette situation complique
grandement la tâche des agences nationales de lutte contre le crime et
des tribunaux.
Ces entités utilisent de plus en plus des chaînes d’approvisionnement
parallèles pour développer, distribuer et déployer des logiciels malveillants
personnalisés, utilisés pour mener des attaques.
La nouvelle étude de Grant Thornton estime que l’impact des coûts
directs liés à la cyber-criminalité pour les entreprises est évalué à plus de
300 milliards de $ US par an au niveau mondial.
Le gain financier est la principale motivation de la cybercriminalité, cependant d’autres raisons peuvent motiver les cyberattaques.
Des pirates se revendiquant de l’organisation Etat Islamique (EI) ont
affiché des messages de propagande djihadistes sur les réseaux sociaux,
notamment la page Facebook et le compte Twitter de TV5 Monde.
Les sites Internet de la chaîne ont été détournés et la diffusion de l’attaque
au sein du réseau interne a eu pour conséquence une interruption des
programmes de télévision.
La récente divulgation par des «hacktivitstes» d’informations personnelles
des clients du site de relations extra conjugales Ashley Madison, répondait
à impératif moral.
En 2013, le groupe de hackers Anonymous avait attaqué les sites Web
de PayPal, Visa et Mastercard pour avoir suspendu les dons faits au site
Wikileaks.
Un certain nombre de gouvernements ont été accusés de sponsoriser
des attaques ciblant la propriété intellectuelle et les secrets industriels
des entreprises, dans le but d’obtenir un avantage concurrentiel dans une
économie mondialisée. Le vol de propriété intellectuelle existe aussi au
niveau des entreprises.
Les pirates attaquent également les entreprises dans le but de démontrer
leur faiblesse, et donc l’incapacité à pouvoir leur faire confiance. En Juillet
2015, Fiat Chrysler a été contraint de rappeler 1,4 millions de véhicules
à la suite de la mise en évidence d’une faille de sécurité du logiciel ayant
permis au moteur d’être désactivé à distance.
Les techniques d’attaque
Bien que les techniques d’attaque varient, l’augmentation du
nombre d’incidents a permis aux observateurs avertis d’identifier
un modèle comportemental derrière les motivations, les tactiques
et la localisation de l’origine de l’attaque.
Les attaques originaires de Russie ciblent les informations financières
personnelles pouvant être revendues rapidement pour un gain financier
immédiat.
Les attaques provenant de Chine, ou des pays associés, ont tendance à
cibler la propriété intellectuelle détenue par un éventail d’organisations,
tels que les établissements d’enseignement ainsi que les entreprises du
secteur de la santé et de l’univers technologique.
Les attaquants « Savvy » utilisent la technologie pour masquer leur
emplacement, ou même voler l’identité d’un utilisateur local - un employé
au sein de l’organisation ciblée avec les droits de « super-utilisateur », par
exemple - pour lancer une offensive.
Le Phishing - l’utilisation de faux sites se faisant passer pour le « vrai » est une tactique populaire et utilisée depuis longtemps pour obtenir les
informations personnelles et financières de clients peu méfiants.
Les attaques par Déni de Service Distribué (DDoS) sont de plus en plus
répandues – avec pour objectif d’empêcher les sites de fonctionner
efficacement. Les attaques par déni de service peuvent aussi servir
de moyen de distraction et masquer une attaque plus ambitieuse, aux
conséquences plus graves.
TypologieS des motivationS
Gain financier, croisade morale, vol de
propriété intellectuelle, révélation de failles
technologiques, blanchiment d’argent,
blocage des accès, ennui.
Lionel BENAO
Manager
Grant Thornton France
Les cyber-attaques sont en
augmentation...
À quel point êtes-vous
vulnérables ?
Selon l’étude de Grant Thornton, plus d’une entreprise sur six a
fait face à une cyber-attaque durant les 12 derniers mois (15 %).
Les entreprises de l’Union Européenne (19 %) et d’Amérique du
Nord (18 %) étaient les plus fortement ciblées.
Les entreprises sont plus vulnérables aux cyber-attaques que ce
qu’elles imaginent, en particulier celles ayant des « empreintes
numériques » importantes (Cloud Computing, réseaux sociaux,
externalisation, BEYOD…).
L’heure de la demande de services portant sur la cyber-sécurité
et de la reconnaissance de l’importance des contrôles de cybersécurité est venue, et pour la plupart, dans l’industrie des services
financiers.
Cependant, d’autres secteurs qui sont de plus en plus axés sur la
technologie – commerce de détail, l’industrie et les médias, par
exemple – prennent désormais acte de cette situation.
Les organisations de taille moyenne sont tout aussi vulnérables que les
grandes entreprises. Les attaquants vont étendre leurs actions aux quatre
coins du globe sans distinction de taille.
L’importance croissante de la technologie dans nos vies professionnelle
et personnelle va augmenter le risque d’exposition à la cyber-criminalité.
« L’Internet des objets », en particulier, qui reliera nos appareils de
communication, nos voitures et nos maisons, va offrir aux pirates de
nouveaux vecteurs d’intrusion.
Les vieilles avenues ne doivent cependant pas être oubliées. Les systèmes
de technologie classiques, qui sont plus susceptibles d’être mal protégés,
continueront aussi d’être exploités.
La majorité des entreprises n’ont pas la totale maîtrise de
ce qui se passe dans leur réseau informatique. Elles ne
seraient pas en mesure de détecter systématiquement une
activité suspecte ou d’évaluer cette activité grâce à des
systèmes sensibles au contexte et comportement.
Voilà l’une des faiblesses que je constate au sein des
entreprises françaises, c’est-à-dire de ne pas disposer
d’une capacité à détecter de manière systématique des
transactions frauduleuses. Une approche agile, souple et
résiliente mériterait d’être mise en œuvre.
Emilie Candas
Senior Manager
Grant Thornton France
Les cyber-criminels sont constamment à la recherche de faiblesses
dans la défense d’une entreprise (telles que l’absence de mécanismes
de supervision du niveau de sécurité de l’infrastructure informatique ou
le fait de ne pas avoir de gardes de sécurité à l’entrée de son site), et la
majorité des entreprises ont encore des efforts à fournir sur cet aspect
de surveillance du SI.
Les entreprises deviennent encore plus sensibles aux attaques à mesure
que leur empreinte numérique se développe pour intégrer leur chaîne
approvisionnement, y compris les prestataires et la sous-traitance.
Nous pouvons sans aucun doute parler d’analogie avec la
fameuse face immergée de l’iceberg. Nous devons nous
attendre à une augmentation certaine du nombre de cyberattaque dans un avenir proche, car de toute évidence, les
gains financiers frauduleux sont concrets et d’autre part les
cyber-criminels innovent continuellement, afin d’exploiter
les faiblesses des organisations, des processus, des
infrastructures technologiques et des individus.
Georges de MONTGOLFIER
Senior Manager
Grant Thornton France
Quels sont les défis et les problématiques des entreprises ?
En dépit de ces risques et vulnérabilités, notre étude a révélé étonnamment que 48 % des entreprises se mettent en difficulté, et ce par une absence de stratégie
globale qui devrait être implémentée et qui permettrait de prévenir des actes de cyber-criminalité.
De nombreuses organisations sous-estiment la valeur de leurs actifs qui justifieraient une cyber-attaque. La réponse des petites et moyennes entreprises est souvent
de plaider un manque de ressources. Mais le manque de sensibilisation de la direction à l’importance de la cyber-sécurité est la principale raison pour laquelle la
cyber-criminalité n’est pas priorisée.
La Cyber-sécurité présente un risque élevé, mais je pense
que la façon de voir les choses est de considérer l’impact
et les conséquences plutôt que de partir d’un point de vue
directement orienté sur les risques. Quel impact aurait
une cyber-attaque ? Avons-nous réalisé une évaluation
permettant d’identifier quels seraient les effets sur notre
SI, nos métiers, notre capacité à produire et à servir nos
clients ? La Cyber-sécurité doit être une priorité si elle est
une menace pour la résilience de l’entreprise.
Manu SHARMA
Associé
Grant Thornton UK
À mesure que les organisations renforcent leur présence
en ligne et interagissent avec leurs partenaires par le biais
de nouveaux outils connectés, dans un environnement de
confiance – où les données et les systèmes sont partagés,
par exemple – la surface d’attaque pour les pirates continue
d’augmenter.
La plupart des grandes organisations sont capables de
sécuriser leur réseau.
Mais, comme de plus en plus d’entre elles augmentent
leur utilisation de services externalisés, connectés et des
technologies tierces, les défis autour de la prévention, de la
détection des cyber-attaques et des infractions augmentent
également.
Rikki SORENSEN
Associé
Raymond Chabot Grant Thornton Canada
Comment les organisations
peuvent-elles protéger leurs
actifs ?
Les organisations ne peuvent pas prétendre être complètement
protégées contre les cyber-attaques, mais il est essentiel d’avoir
une politique de cyber-sécurité en place, évaluée en permanence
pour son efficacité.
Il n’existe pas une méthodologie sur « étagère » pour une approche
commune et unifiée de la cyber-sécurité. Cependant les stratégies qui
fonctionnent sont construites autour de trois piliers : les individus, les
processus et la technologie. Les organisations qui comprennent ces
principes, éduquent leurs collaborateurs pour être leur première ligne de
défense, afin de développer une culture de sensibilisation à la sécurité.
Ils mettent en œuvre les processus de sécurité appropriés et ils utilisent la
technologie pour les implémenter, quand cela est nécessaire.
Qu’est-ce que cela signifie dans la pratique ? Les stratégies de Cybersécurité doivent être adaptées afin de répondre aux besoins opérationnels
et culturels des organisations, en tenant compte des exigences
réglementaires et en se concentrant sur ce qui doit être protégé plutôt
que d’offrir une couverture globale.
L’identification des priorités pour la protection commence par une
évaluation des risques et l’analyse des failles. La réévaluation continue est
importante afin de veiller à ce que les zones identifiées d’une organisation
soient toujours protégées.
Le véritable objectif est de mettre en place une culture
collective au sein de l’organisation afin de favoriser la
responsabilisation et le fait que les actions quotidiennes
des collaborateurs, (telles que cliquer sur un lien dans un
courriel inconnu) puissent causer de graves préjudices à
l’organisation.
Elodie LASZKEWYCZ
Senior Manager
Grant Thornton France
Création de politiques efficaces en matière de
cyber-sécurité : les pièges à surveiller
Manque d’engagement de la part de la direction
- Les politiques qui manquent de robustesse et de profondeur,
- Les politiques efficaces doivent détailler les procédures, les
mécanismes et les contrôles,
- L es procédures de communication et les processus de
surveillance.
L’absence de réactivité quant à la mise à jour des
formations, des politiques et des procédures afin de
refléter la nature évolutive de la cyber menace
Le retard dans l’alignement des personnes, des processus et des
technologies concernant cette menace mouvante, changeante et
complexe.
Le manque de compétences et de capacités internes
permettant de mettre en œuvre des politiques de cybersécurité efficaces
La rédaction de politiques trop techniques, que ne peuvent pas
s’approprier les employés et les collaborateurs.
Le défi est de créer une politique, des guides et des
formations qui soient pertinents afin de construire une
culture de sensibilisation et d’accompagnement, et ne
pas seulement se limiter à la conformité pour former et
sensibiliser.
Grégoire de VERGNETTE
Manager
Grant Thornton France
Les conséquences de
l’inaction
Echouer dans la consolidation de sa cyber-défense peut être coûteux et
menacer la survie de l’entreprise.
Les conséquences financières directes que subit une organisation ne
tiennent pas compte sur le long terme de l’atteinte à la réputation et la
perte de confiance dont elle souffre lorsque ses systèmes sont infiltrés.
Les dommages opérationnels peuvent durer des mois. Quand le géant du
divertissement Sony US a été piraté en 2014, il a été incapable de fournir
ses états financiers au début de 2015 parce que ses systèmes n’étaient
pas totalement redevenus opérationnels.
La prise de conscience est
indispensable
Les cyber-criminels sont en nombre croissant et défient les
stéréotypes. Les victimes ne peuvent jamais savoir si leur
prédateur est un État-nation, un concurrent de l’entreprise, un
gang criminel ou un adolescent qui s’ennuie.
L’augmentation des systèmes technologiques complexes et
interconnectés facilite l’anonymat des attaquants et renforce leur
capacité à avancer masqués. Ils pourraient être de l’autre côté du
monde ou dans la pièce d’à côté...
Lorsque l’ennemi est insaisissable, la défense est la meilleure forme
d’attaque. Le point de départ est une stratégie de cyber-sécurité étanche.
Les cadres supérieurs doivent mener leur organisation de l’avant, en
vantant l’importance de la cyber-sécurité et en étant convaincus de se
qu’ils avancent. Les employés doivent jouer leur rôle, en incluant un cyber
comportement adéquat dans leur activité professionnelle quotidienne.
Plus largement le monde de l’entreprise doit commencer à valoriser la
cyber-sécurité comme un indicateur de réussite de l’organisation.
Ces mesures ne peuvent pas arrêter le 00.01 % des pirates déterminés
ou les plus qualifiés qui ont des vues sur les atouts et les actifs les
plus précieux d’une organisation, mais ils vont arrêter les 99,99 % des
agresseurs qui se contentent actuellement de pousser une porte ouverte.
La reconstruction des systèmes informatique peut être
fastidieuse et coûteuse. Le temps consacré par les équipes
métiers et experts à affronter les retombées d’une cyberattaque peut souvent dépasser le coût direct de l’attaque
elle-même, tandis que les amendes réglementaires peuvent
représenter une dépense supplémentaire.
À plus long terme, le vol de la propriété intellectuelle
peut endommager de façon permanente les avantages
et l’avance concurrentiels qu’une entreprise avait sur ses
rivaux.
Sans compter la perte de confiance des clients quant aux
transactions en ligne…
Paul JACOBS
Associé
Grant Thornton Irlande
Panorama des risques « cybers »
La vision de GRANT THORNTON
QUI ?
Crime organisé
Etats / Nations
Collaborateur
Interne Tiers
Hacker isolé
Hacktivistes
RÉSEAU CYBER CRIMINEL
COMMENT ?
Spam
Spear Phishing
Social Engineering
Déni de service :
Bosnets or Zombies
Sites Web
Compromis
Code malicieux :
Malwares, advanced
Persistant
Theats et Zero-Days
attacks
Cloud,
réseaux sociaux,
outils de communication
externe Internet
Vecteurs
d’attaques
externes
Vecteurs
d’attaques
INternes
CONSÉQUENCES
Infrastructure
des Partenaires
commerciaux
Portail
Internet / Web
BEYOD
Equipemeents
Mobiles
Email
Accès Distant
Collaborateur
Accès WIFI
Système d’information
Collaborateur
malveillant
Vol / Perte
de données
Accès
Clients
Collaborateur
négligent
Vol
d’identité
Accès
non autorisé
Fournisseur(s) et
sous-traitant(s)
Vol
détournemant
de fonds
Accès
non autorisé
Systéme
indisponible
Invités
et Visiteurs
Destruction
de données
Altération
de l’image
de marque
Une offre qui couvre toute la chaîne de valeur
Grant Thornton et ITrust ont signé à Paris, un partenariat stratégique permettant
aux auditeurs financiers et risques d’évaluer la cyber sécurité des entreprises.
- Grant Thornton, Groupe leader d’audit et de conseil en France et dans le monde, et ITrust, spécialiste français de solutions
innovantes en cyber-sécurité, annoncent le lancement de nouveaux services permettant d’inclure les problématiques de cyber
sécurité dans le reporting des Commissaires aux comptes du groupe.
- Grant Thornton et ITrust créent ainsi un partenariat innovant dans le monde de l’Audit grâce à l’utilisation de la solution IKare,
permettant de scanner les vulnérabilités des systèmes d’information et de mesurer le risque des entreprises liées à la cybersécurité.
GRANT THORNTON et Itrust, une expertise partagéE
dans le domaine cyber
Protéger votre organisation,
son savoir, ses savoir-faire.
Itrust
Acteur majeur de la sécurité informatique en France, ITrust dispose de
profils ingénieurs sécurité à forte compétence technique et propose un
outillage technologique automatisée répondant aux besoins de l’état de
l’art.
La gouvernance , la gestion du risque et la production
de rapport ( KRI / KPI ) qui permettent de couvrir les incidents et
les infractions en matière de cyber-sécurité :
- Cartographier les équipements et établir un reporting détaillé de la
situation des SI avec Ikare,
- Permettre aux équipes dirigeantes et techniques de maintenir un niveau
de sécurité informatique optimal.
GRANT THORNTON
Grant Thornton, groupe leader d’Audit et de Conseil, rassemble en
France 1 700 collaborateurs dont 117 associés dans 22 bureaux, en se
positionnant sur 5 métiers : Audit, Expertise Conseil, Conseil Financier,
Conseil Opérationnel & Outsourcing et Conseil Juridique et Fiscal.
Des prestations uniques de conseils « sur étagère ».
Conseil en Cyber-assurance : Acceptation Formelle du risque
et mise en place d’une assurance couvrant les risques non atténués.
Analyse technico-Economique de la cyber-sécurité :
Confronter un risque diffus et polymorphe avec une consommation de
ressources réelle, ciblée et par définition, limitée.
Un fonctionnement selon un mode agile
et non intrusif
Un diagnostic cyber flash complété par la solution de gestion des
vulnérabilités IKare, qui analyse les réseaux informatiques et détecte les
équipements mal configurés et les défaillances de sécurité.
Dialoguer à armes égales dans l’entreprise avec les
instances décisionnaires, les directions fonctionnelles et les équipes
experts en SSI…
23
PLUS DE
200
5
PAYS
EXPERTS DÉDIÉS (2016)
CONTINENTS
Cyber Risk management : une initiative mondiale chez Grant Thornton
Expertiser la
cause et les
conséquences
Stopper
l’attaque
Adapter
à la
menace
Maintenir
Diagnostiquer
Remettre
en question
Expertiser
Réparer
Mettre
à niveau
Communiquer
(communication
de crise)