Technologies

Les cybermenaces en environnement non maîtrisé

De gauche à droite : Guillaume Lecesse, Oxalide, Jérôme Chagnoux, Oracle, Jean-Paul Alibert, T-Systems, José Diz, cpi-b2b, Vincent Peulvey, Ivanti, Marek Moszynski, Equinix, Stéphane Geyre, Accenture

Nouvelles menaces, protection des données, conformité, les RSSI doivent se démultiplier pour répondre aux cybermenaces.

PublicitéComment protéger les entreprises dans un environnement non-maîtrisé ? La question est d'autant plus importante que les attaques augmentent en nombre et en impact, obligeant les entreprises cibles à sans cesse renouveler leurs parades. Le Club de la Presse Informatique BtoB (CPI-B2B) a demandé à six acteurs du marché, Accenture, Equinix, Ivanti, Oracle, Oxalide e T-Systems de préciser leur perception de cet environnement non maîtrisé.

De nouvelles attaques sont identifiées et chacun a sa liste. Pour Guillaume Lecesse, de l'hébergeur Oxalide, les DDoS arrivent en tête. On les rencontre dans de multiples secteurs, de manière spectaculaire quand des sites de presse sont attaqués, ou quand il s'agit d'un site de télévision comme TV5, indisponible plusieurs heures. Des attaques sur les applications, en particulier les grands CMS (Content management system) du marché, comme Drupal ou Magento, aboutissent à l'apparition de faux sites. Quant au social engineering, ce n'est pas un vain mot, la faille humaine semble devenue une forte préoccupation.

Controverse sur les failles humaines

Un avis qui n'est pas partagé par tout le monde. Stéphane Geyre, directeur d'Accenture security France, remarque que les failles humaines ne doivent pas faire oublier celles de la technologie. « Si on commence par culpabiliser tout le monde, on ne va guère avancer » juge-t-il. Pour Jean-Paul Alibert, le directeur général de T-Systems France, si les failles humaines sont bien présentes, il faut surtout se poser trois questions. Celle de la prévention, celle des différents types de protections possibles et, enfin, les réponses à apporter s'il y a eu intrusion. Donc, après les attaques.

Autre angle d'observation, avec Vincent Peulvey, directeur avant-vente systems Europe du sud chez Avanti, pour qui beaucoup d'informations sont passées sous le manteau. Un raisonnement rapide permet de situer l'ampleur des dégâts. Yahoo, par exemple, vient de perdre 350 millions de dollars. C'est la plus coûteuse faille de 2016. Mais, pense-t-il, « on se dit que 2017 sera pire ». « Et dans certains pays, glisse Jean-Paul Alibert, c'est le même qui vend des protections contre les ransomwares et qui les propage » !

Les DSI ont changé d'opinion sur la sécurité du cloud

L'autre grand sujet est celui des données. L'hébergeur Equinix ne veut pas se contenter de louer l'électricité et l'espace, précise Marek Moszynski. Il veut regarder comment opérer des liaisons sécurisées entre sociétés hébergées, ce qui renforce la sécurité des données. Jean-Paul Alibert remarque pour sa part que les DSI, jusqu'alors frileux vis-à-vis du cloud, pour des raisons de sécurité, ont basculé en 2016, et s'intéressent désormais au cloud, précisément pour sa sécurité.

Publicité« Le cloud est effectivement une bonne réponse, souligne Jérôme Chagnoux, expert en sécurité chez Oracle, les opérateurs de cloud mettent beaucoup d'énergie dans leurs politiques de sécurité, les ETI trouvent là une possibilité de sécuriser leurs données mais avec une responsabilité restant dans l'entreprise, ce qui est un point essentiel ». Tout débat sur la sécurité des données ne peut se conclure que par le RGPD, le Règlement général sur la protection des données (en anglais : General Data Protection Regulation, GDPR). Chaque entreprise européenne est tenue de se mettre en conformité avant le 25 mai 2018. Mais personne ne se risque à évaluer le degré de maturité des entreprises françaises, seule la moitié d'entre elles serait au fait du sujet, de manière plus ou moins avertie.