Technologies

Les 6 raisons pour lesquelles vous connaissez mal vos cyber-menaces

Retrouvez cet article dans le CIO FOCUS n°157 !

Comment les DSI américains réussissent leurs travaux d'Hercule

Les épreuves rencontrées par les DSI américains sont au moins autant difficiles à relever que celles de leurs homologues français. Ce sont d'ailleurs souvent les mêmes, que ce soient des embuches technologiques, organisationnelles ou managériales. Nos confrères de CIO Etats-Unis ont raconté comment...

Découvrir

---

La plupart des entreprises ne savent pas se concentrer sur les véritables cyber-menaces auxquelles elles sont confrontées.

PublicitéLes gens ont bien plus peur de prendre l'avion que de se rendre en voiture à l'aéroport, même si le trajet en voiture est des dizaines de milliers de fois plus risqué. Ils ont peur de se faire mordre par un requin à la plage, alors que leur propre chien ou celui du voisin a plus de chance de les mordre. Nous ne sommes tout simplement pas très bons pour réagir de manière appropriée aux risques. Les responsables informatiques passent souvent du temps, utilisent de l'argent et d'autres ressources sur des défenses informatiques qui n'arrêtent pas les plus grandes menaces.

Par exemple, alors qu'un seul programme non corrigé doit être mis à jour pour arrêter la plupart des menaces, les entreprises ne font rien. Face au fait que de nombreuses menaces ont réussi, elles n'ont pas mis en place les formations utilisateurs nécessaires qui auraient pu les arrêter. Des douzaines d'autres exemples existent. Mais le fait que la plupart des entreprises peuvent facilement être piratées montre qu'elles ne font tout simplement pas les choses simples qu'elles devraient faire.

Beaucoup de priorités attirent l'attention des RSSI, à tel point que les choses qu'ils pourraient faire pour améliorer leur défense de manière significative ne sont pas faites, même si elles sont moins chères, plus rapides et plus faciles à faire. Qu'est-ce qui cause ce manque de concentration, cette impossibilité de mettre les bonnes défenses aux bons endroits, avec les bons montants contre les bonnes menaces ? A mon avis, on peut avancer 6 raisons :

1. Le nombre de cyber-menaces est énorme

Il y a entre 5 000 et 7 000 nouvelles menaces par an, soit environ 15 par jour. C'est 15 nouveaux problèmes en plus des 15 nouveaux problèmes d'hier. Il en a été ainsi pendant des décennies. Les défenseurs de l'informatique pourraient être comparés aux répartiteurs de centre d'appels d'urgence  qui reçoivent chaque jour plus d'appels  que n'importe quelle équipe d'ambulance et qu'ils doivent donc trier et répartir par priorité.

2. L'effet négatif d'une exagération des menaces

Certains fournisseurs en cyber-sécurité font de leur mieux pour que chacune de leur communication entraîne une crise cardiaque. Les menaces et les vulnérabilités annoncées aujourd'hui sont souvent autant le fruit d'un battage médiatique, de la volonté de propager la peur que d'une menace réelle. Ils viennent avec des noms qui sont effrayant mais parlent aux médias.
Je ne mets pas tout les blâmes sur les fournisseurs, c'est leur travail de vendre leur logiciel ou leur service, et il est plus facile de vendre de la protection pendant un ouragan. C'est aux clients de décider ce qui mérite ou non leur attention, et c'est extrêmement difficile à faire quand vous avez 15 nouvelles menaces par jour.
Même lorsque la menace et le risque sont énormes, la sur-communication sur chaque menace fait qu'il est difficile de prêter attention aux plus fortes d'entre elles. Par exemple, Meltdown et Spectre sont en fait l'une des plus grandes menaces auxquelles nous avons été confrontées. Ils ont un impact sur presque tous les microprocesseurs, permettent aux pirates d'exploiter de manière invisible les ordinateurs, nécessitant souvent plusieurs correctifs et, une fois résolus, peuvent ralentir considérablement votre ordinateur. Dans de nombreux cas, la seule bonne solution consiste à acheter un nouvel ordinateur !  Meltdown et Specter sont, à juste titre, de grosses attaques, à mon avis, vous ne pouvez pas les exagérer.
Pourtant, en dehors des cercles de sécurité informatique et de quelques articles médiatiques dominants pendant un jour ou deux, la réaction collective mondiale est un grand « bof ». Normalement, quand quelque chose de fort arrive en sécurité informatique, mes amis et ma famille me demandent ce qu'ils doivent faire. Avec Meltdown et Specter, je n'ai pas eu une seule demande. Pas davantage dans mon réseau social. C'est comme si un grand requin blanc affamé avait été aperçu sur la plage et que personne n'essaie de sortir de l'eau.
Chaque menace est tellement exagérée que lorsqu'une menace réelle et globale apparaît, tout le monde doit y prêter attention. Or, chacun hausse simplement les épaules et suppose que son fournisseur de système d'exploitation ou d'appareil la corrigera en temps voulu.

Publicité3. L'intelligence sur les mauvaises menaces détourne l'attention

Les alertes sur les menaces propres à la plupart des entreprises ressemblent en fait à un piètre travail de communication. Les renseignements sur les menaces devraient tenir compte des milliers de menaces en cours et indiquer quelles sont les plus susceptibles de les atteindre. Au lieu de cela, ils agissent généralement comme des mégaphones, rejouant le battage médiatique mondial.
Vous voulez voir à quel point la plupart des services de renseignement sur les menaces sont défectueux ? Demandez-leur quelle est la principale façon dont leur entreprise est endommagée. S'agit-il de logiciels malveillants, d'ingénierie sociale, d'attaques par mot de passe, de mauvaise configuration, d'attaques intentionnelles, de manque de cryptage, etc... ? Je n'ai jamais rencontré une équipe IT qui sache me le dire avec un visage impassible et suffisamment de données à l'appui de sa conclusion. Comment une entreprise peut-elle lutter efficacement contre les bonnes menaces si elle ne peut même pas déterminer les plus grandes menaces ?

4. Conformité et sécurité ne font pas toujours bon ménage

Si vous voulez tenter quelque chose rapidement en matière de cyber-sécurité, affirmez que c'est bon pour la conformité. Rien n'ouvre les cordons de la bourse plus vite. La dg est tenue de prêter attention aux problèmes de conformité. Dans de nombreux cas, ils peuvent être tenus personnellement responsables en cas de défaut de conformité.
Malheureusement, la conformité et la sécurité ne font pas toujours bon ménage. Par exemple, les meilleures recommandations de mot de passe d'aujourd'hui, annoncées il y a plus d'un an, vont à l'encontre de toutes les exigences légales et réglementaires concernant les mots de passe. Il s'avère qu'une grande partie de ce que nous pensions être vrai au sujet de la sécurité des mots de passe, comme la complexité, n'était pas le meilleur conseil, ou que les menaces ont changé avec le temps.
Une de mes bêtes noires personnelles sur ce sujet est de savoir combien de sites Web refuseront de me laisser créer un mot de passe de plus de 16 caractères (ce qui serait très fort quelle que soit sa complexité), mais m'obligent à utiliser des symboles spéciaux. En théorie, cela rend la vie des hackers plus difficile, alors que les données et la recherche montrent que ce n'est pas le cas dans la pratique.

5. Trop de projets cyber manquent de ressources dédiées

Chaque entreprise que j'ai consultée a eu des dizaines de projets en cours, chacun conçu pour sécuriser les ordinateurs et les terminaux de l'entreprise. Dans tous les cas, un ou deux de ces projets, s'ils sont terminés, éviterait beaucoup de problème de sécurité à l'entreprise. Mais, la division de dizaines de projets entre un ensemble limité de ressources fait qu'ils prennent du retard, et sont mis en oeuvre de manière inefficace (même quand ils sont terminés).

6. Cyber-sécurité et projets « perso »

La plupart des entreprises ont un ou deux projets poussés par un membre du Comex. Ils ont lu un livre, entendu une histoire à la radio, ou sont allés jouer au golf avec un ami qui leur a dit ce qu'ils devaient faire pour la cyber-sécurité de leur entreprise. Donc, sans consulter les données internes pour voir quelles sont les plus grandes menaces, ils accaparent les meilleurs et les plus brillants participants à d'autres projets pour obtenir le leur en premier.
Je pourrais donner d'autres exemples de pourquoi les responsables de la cyber-sécurité ne se concentrent pas sur les bonnes choses. Cela commence avec une avalanche de menaces quotidiennes et est aggravé par de nombreux autres facteurs tout au long de la réalisation du projet. La première étape dans la résolution d'un problème est d'admettre que vous avez un problème. Si vous vous reconnaissez dans les exemples ci-dessus, il est vraiment temps d'aider vos équipes à comprendre le problème et à les aider à mieux se concentrer.

Roger A. Grimes / IDG News Service (adaptation Didier Barathon)

Article rédigé par

Didier Barathon, Journaliste

Partager cet article