«La cybersécurité n’est pas un état, mais un processus»

Sunrise: D’après la Cyberstudie 2024, 24 000 PME en Suisse ont été victimes de cyberattaques au cours des trois dernières années. Néanmoins, les petites et moyennes entreprises considèrent généralement ce risque comme faible. Quel est ton avis concernant cette situation? 

Nadine George-Fischli: Cette erreur est très courante. Les cybercriminels ne font pas de distinction entre les grandes entreprises et les PME. Bien au contraire, les PME sont souvent des cibles plus faciles, car elles ne disposent pas des mêmes ressources et des mêmes mesures de sécurité que les grandes entreprises. Une attaque réussie peut menacer l’existence de n’importe quelle entreprise. PWC Suisse estime que les dommages moyens subis par une entreprise suisse de taille moyenne atteignent environ 6 millions de francs par cyberattaque.  

Souvent, les points faibles des entreprises sont de nature humaine. De nombreuses attaques commencent par un simple e-mail de phishing... 

... C’est pourquoi il est impératif de sensibiliser le personnel aux dangers potentiels à l’aide de formations. En outre, les systèmes de détection basés sur l’IA aident à identifier rapidement les e-mails de phishing. Les cyberpirates parviennent de mieux en mieux à rendre leurs e-mails crédibles et authentiques. Alors qu’avant, les e-mails de phishing étaient facilement identifiables en raison des fautes de français ou des liens et adresses e-mail suspects, à l’heure actuelle, ils paraissent parfaitement légitimes. De plus, les pirates numériques s’appuient de plus en plus sur l’intelligence artificielle (IA) pour optimiser leurs attaques.  

Peux-tu nous donner un exemple? 

Prenons l’exemple de la fraude au PDG: auparavant, les cyberpirates se faisaient passer pour des directeurs généraux et envoyaient un e-mail demandant d’effectuer un virement en urgence. Aujourd’hui, l’IA peut être utilisée pour imiter la voix et transmettre ce type de demande par téléphone ou par message vocal. Les victimes croient alors écouter leurs supérieur-e-s et agissent en conséquence, et les répercussions peuvent être catastrophiques. 

L’IA représente-t-elle donc une menace sérieuse pour les entreprises? 

L’IA représente à la fois une opportunité et un risque. Tandis que les solutions de sécurité basées sur l’IA sont capables de détecter les menaces à un stade précoce, les entreprises sont également exposées à de nouveaux dangers lorsqu’elles utilisent ces outils. Faute de mesures de protection appropriées, il existe un risque de fuites de données, de manipulations et d’atteintes à la confidentialité et à l’intégrité des systèmes d’IA, par exemple via la manipulation des données ou la corruption des données d’entraînement. 

Comment les entreprises peuvent-elles protéger leurs systèmes d’IA? 

La visibilité joue un rôle majeur. De solides défenses IA aident les entreprises à obtenir une visibilité sur les outils d’IA en libre accès utilisés par leurs collaborateurs et collaboratrices. Elles peuvent ainsi identifier, tester et bloquer les outils dangereux ou problématiques sur le plan éthique avant qu’ils ne provoquent des dommages. Parallèlement, les défenses IA contribuent à la prévention des pertes de données (DLP) et garantissent ainsi que les données sensibles ne quittent pas accidentellement le réseau de l’entreprise via des applications IA. La protection contre la perte de données fait partie intégrante de la solution Secure Service Edge (SSE), qui garantit que les dispositions légales soient respectées et évite les atteintes à la réputation de l’entreprise. 

À quels autres dangers les entreprises sont-elles confrontées aujourd’hui? 

Dans le monde numérique actuel, le nombre d’applications utilisées augmente et, avec lui, le besoin de mises à jour continues et de nouvelles versions de sécurité. De plus en plus de ressources sont nécessaires pour combler les failles de sécurité et minimiser les points d’accès pour les attaques.  

Cependant, les ressources disponibles pour la protection informatique sont parfois très limitées. 

Les entreprises doivent adopter une approche basée sur les risques qui donne la priorité aux vulnérabilités les plus critiques. L’automatisation et un programme de gestion des vulnérabilités robuste permettent de combler de manière proactive les failles de sécurité sans surcharger les équipes informatiques. En outre, il est important d’appliquer une sécurité renforcée sur les terminaux et de mettre en œuvre des solutions centralisées de gestion des identités et des accès (Identify Access Management, IAM) afin de garantir une authentification cohérente des utilisateurs/-trices sur toutes les plateformes.  

C’est-à-dire également en dehors de l’architecture sur site? 

À l’heure actuelle, le personnel peut travailler de partout: en télétravail, dans des espaces de coworking ou en déplacement. Les données de l’entreprise sont ainsi accessibles via des réseaux Wi-Fi privés ou des appareils personnels qui peuvent être mal sécurisés. Aujourd’hui, les services cloud et les appareils connectés de l’Internet des objets (IoT) font également partie intégrante de nombreux processus commerciaux, et chacun de ces systèmes comporte ses propres risques en matière de sécurité, qui doivent être pris en compte. Les entreprises doivent sécuriser les systèmes sur site ainsi que les applications cloud et les plateformes SaaS, ce qui complexifie le contrôle des accès et l’application de politiques de sécurité cohérentes. Et les dangers ne se limitent pas à l’infrastructure de l’entreprise.  

Mais? 

Les cyberpirates exploitent également les vulnérabilités de fournisseurs et de partenaires tiers pour pénétrer dans les réseaux d’entreprise. Le fait que la chaîne d’approvisionnement soit également exposée aux cyberdangers est encore souvent négligé.  

Comment les entreprises peuvent-elles faire face à ces dangers? 

En principe, les entreprises devraient adopter un modèle Zero Trust: aucun appareil, aucun-e utilisateur/-trice et aucune application n’est considéré en soi comme digne de confiance; chaque accès est vérifié en permanence et chaque communication est sécurisée. Ce système peut empêcher les pirates de se déplacer sur le réseau sans se faire remarquer. Une plateforme de gestion centralisée est également essentielle pour identifier les éventuelles failles de sécurité et gérer efficacement les utilisateurs/-trices, les appareils et les applications. Celle-ci permet de définir et de déployer automatiquement des politiques de sécurité sur tous les appareils, au lieu de les configurer manuellement sur chacun d’entre eux. En outre, un contrôle de sécurité rigoureux de tous les partenaires externes est primordial. Les entreprises doivent s’assurer que leurs prestataires de services adhèrent à des normes identiques aux leurs à travers des audits réguliers, des exigences de sécurité contractuelles et une gestion des risques clairement définie. 

Quelles sont les technologies qui peuvent y contribuer? 

Par exemple, les courtiers de sécurité d’accès au cloud (Cloud Access Security Broker, CASB) protègent contre les accès non autorisés et contre la perte de données en surveillant le trafic de données cloud, en appliquant des politiques de sécurité et en détectant les risques en temps réel. La nouvelle technologie Secure Access Service Edge (SASE) combine des capacités de réseau (SD-WAN) avec des fonctionnalités de sécurité natives du cloud (SSE) pour une connexion sécurisée, quel que soit l’emplacement de l’utilisateur/-trice. Une approche à plusieurs niveaux est cruciale car aujourd’hui, une solution unique ne suffit plus. Combiner le SASE avec le Managed Extended Detection and Response (MxDR) est une excellente idée. Le MxDR sécurise le réseau d’entreprise, le cloud, l’IoT et les systèmes de technologie opérationnelle (OT) grâce à une surveillance continue et à une détection précoce des activités suspectes. De nombreux systèmes OT ont été initialement développés sans mécanismes de cybersécurité modernes, ce qui les rend particulièrement vulnérables aux cyberattaques. Problème: une attaque contre l’OT met en danger les processus physiques dans les installations industrielles ainsi que leurs collaborateurs et collaboratrices.  

Face à tous ces défis, comment une entreprise peut-elle aborder la cybersécurité de manière stratégique sans s’enliser dans des mesures individuelles? 

Dans ce domaine, le Cybersecurity Framework publié par le National Institute of Standards and Technology (NIST) constitue un concept éprouvé. Il fournit des lignes directrices aux entreprises de tous les secteurs et de toutes les tailles afin qu’elles adoptent une approche holistique destinée à améliorer la gestion des risques au sein de leur organisation. Compte tenu des exigences réglementaires croissantes et de la pénurie de personnel qualifié, ce cadre aide les entreprises à structurer efficacement leurs mesures de sécurité et à les adapter aux exigences légales.  

Quels domaines d’action ce cadre identifie-t-il? 

Il divise la cybersécurité en cinq domaines centraux: Identify, Protect, Detect, Respond et Recover. Il aide ainsi les entreprises à gérer la sécurité de manière systématique au lieu de se contenter de réagir de manière sélective aux menaces urgentes. Identify implique de commencer par saisir tous les systèmes critiques, données et éventuelles vulnérabilités. Protect comprend des mesures préventives telles que les contrôles d’accès, le cryptage et les pare-feu. Detect garantit que les menaces sont détectées à un stade précoce grâce à une surveillance continue. Respond définit des processus clairs pour réagir rapidement et efficacement aux incidents de sécurité. Recover aide les entreprises à récupérer les données et à reprendre les opérations rapidement après une attaque. Les entreprises bénéficient ainsi d’une protection de bout en bout qui combine la prévention, la détection et la réponse. Govern décrit le contexte organisationnel à travers toutes les phases. Ce principe comprend la stratégie globale en matière de gestion des risques, des rôles et responsabilités clairement définis, des directives internes ainsi que le contrôle de toutes les mesures adoptées et de leur mise en œuvre. 

Ce Framework est donc une sorte de guide pour la sécurité à long terme? 

Exactement. De nombreuses entreprises s’occupent seulement de la cybersécurité après avoir subi une attaque. Le Framework publié par le NIST permet d’agir de manière proactive, d’identifier les risques à un stade précoce et de minimiser les dommages en cas d’urgence. 

Quels autres conseils donnerais-tu aux entreprises qui souhaitent optimiser leur stratégie en matière de sécurité? 

Je leur conseille d’investir dans la sécurité avant qu’il ne soit trop tard. Le coût d’une attaque est bien plus élevé que les investissements dans la prévention. Elles ne doivent pas oublier que la cybersécurité n’est pas un état de fait, mais un processus continu. Elle commence par une vue d’ensemble de tous les composants informatiques, des données et des applications utilisés dans l’entreprise, du réseau interne aux applications cloud, en passant par les appareils privés des collaborateurs/-trices et l’ensemble de la chaîne d’approvisionnement. Ce n’est que lorsque les sources potentielles de danger sont pleinement connues qu’une approche systématique d’amélioration de la sécurité informatique peut être développée et mise en œuvre, sous forme de protection complète correspondant au Framework publié par le NIST. Compte tenu de la pénurie de personnel qualifié, les solutions automatisées et la coopération avec des expert-e-s expérimenté-e-s peuvent aider à gérer efficacement les cyberrisques et à optimiser en permanence les stratégies de sécurité.