Cybersécurité : comment construire la confiance dans un monde ultra-connecté ?


Publié le: 13 juillet 2018 par Laurent Sauphanor

Technologies portables (wearables), voitures autonomes, réalité augmentée… le futur sera résolument connecté. Mais, aussi fascinantes soient-elles, ces technologies n’en sont pas moins vulnérables et porteuses de nouvelles menaces. Pour que se réalisent les promesses des systèmes intelligents, il convient de juguler ces risques émergents. Pour cela, la cybersécurité doit tout à la fois prendre de la hauteur et descendre au coeur même des projets digitaux.

L’actualité le démontre désormais tous les jours : pour les entreprises et les organisations publiques, le cyber-risque n’est plus une question de « si », mais de « quand », de « comment » et de « combien ». Et à mesure que se développent et se généralisent les nouvelle technologies connectées, ces trois interrogations deviennent de plus en plus brûlantes.

Les risques : malveillance, défiance, expérience

Le cyber-risque évoque aussitôt les attaques de pirates, qui sont de plus en plus organisés et ingénieux. Leurs objectifs : causer des dommages, déstabiliser leur cible ou encore dérober des données sensibles, comme des identités, de la propriété intellectuelle ou des données à caractère personnel. Bien que la malveillance (souvent favorisée par la négligence) reste la première des menaces, l’entreprise doit aussi prendre garde à ne pas rompre elle-même le contrat de confiance implicite qui sous-tend chaque service numérique. En collectant trop de données, en les exploitant de manière opaque, en les monétisant à l’insu de ses utilisateurs ou en leur forçant la main, elle court en effet le risque d’engendrer une défiance qui, très vite, mène à la désaffection et aux pertes de revenus.

Les facteurs aggravants : volume, variété, valeur, vitesse

Pour paraphraser les fameux 4V caractérisant le Big Data (volume, variété, vélocité, véracité), on peut considérer que quatre facteurs, 4V, contribuent à complexifier l’équation sécuritaire dans le monde connecté. Premier de ces facteurs, le volume renvoie naturellement à l’essor exponentiel de la sphère digitale : des milliards d’objets, des millions d’utilisateurs, des centaines de milliers de transactions à chaque instant… Non seulement les périmètres à sécuriser, surveiller et contrôler sont immenses, ce qui rend d’autant plus facile à un intrus d’y passer inaperçu, mais de tels volumes soumettent les systèmes à une pression terrible.

Par exemple, la consommation de bande passante des objets connectés mettra à rude épreuve les autres communications sans fil, qui fonctionnent également sur les fréquences mégahertz comme la radio, la télévision, les services d’urgence, etc. En outre, l’effet de réseau s’en trouve démultiplié, et avec lui l’ampleur des risques et la vitesse de leur propagation. Qu’il s’agisse d’un smartphone ou d’une cafetière, le moindre périphérique vulnérable peut devenir l’épicentre ou le relai involontaire d’une infection foudroyante.

La variété des objets constitue d’ailleurs elle-même un deuxième facteur aggravant. Que ce soit dans l’entreprise, avec le BYOD « bring your own device » notamment, ou au-delà, la diversité des plateformes matérielles, des systèmes d’exploitation, des versions logicielles et des fournisseurs rendent de plus en plus complexes la conception et le déploiement des solutions de sécurité. Il reste inévitablement des failles, dans lesquelles ne manquent pas de s’engouffrer les pirates.

Et s’ils le font si volontiers, c’est en raison du prix croissant de ce qu’ils peuvent récolter ou détruire. La valeur, troisième facteur d’amplification des risques, va de pair avec l’essor du digital. Plus la technologie est intégrée aux actions quotidiennes, plus elle apporte d’intelligence, et plus les systèmes renferment des données précieuses : coordonnées bancaires, données de santé, fichiers clients, propriété intellectuelle… Informations qui aiguisent les appétits et critiques pour l’organisation.

Enfin, la vitesse des changements constitue le dernier, mais non le moindre, des facteurs qui   compliquent la tâche des entreprises en matière de cybersécurité. Qu’il s’agisse de technologie, d’usages, de réglementation, d’exigences sociétales ou des cycles de l’activité, le rythme s’est considérablement accéléré au cours des dernières années. Et pour les équipes chargées de la cybersécurité, ce tempo effréné devient de plus en plus difficile à suivre.

Une cybersécurité qui prend de la hauteur…

Dans ce contexte de risques à la fois plus variés, plus sérieux et plus difficiles à contrer, les approches traditionnelles de la cybersécurité montrent leurs limites. Au château-fort (un périmètre ceint de murailles supposées infranchissables) et à l’armure (barder les points vulnérables de protections) doivent succéder de nouveaux paradigmes fondés en priorité sur l’analyse de risques.

Bien que d’incitation réglementaire, les projets RGPD constituent à cet égard un exemple et un précédent intéressants. Focalisés sur une catégorie de risques (ceux associés aux données à caractère personnel), ils ont bénéficié d'une approche globale et systémique, qui a nécessité la réalisation préalable d’un état des lieux, puis la constitution d’un référentiel et la mise en place d’une organisation et d’une gouvernance appropriées. Ces dispositifs, auxquels ont été ensuite subordonnés le choix et la mise en oeuvre des divers outils de protection (chiffrement, gestion des identités et des accès, prévention des fuites de données…), offrent la garantie d’une cybersécurité pérenne et proportionnée, capable de s’adapter à un environnement en évolution perpétuelle.

… et s’invite au coeur des projets digitaux

Cette expérience du RGPD, comme les approches que mettent d’ores et déjà en oeuvre les entreprises et les secteurs les plus sensibles, révèle le tournant fondamental pris aujourd’hui par la cybersécurité. Pour répondre efficacement aux risques actuels et futurs : dorénavant, on s’attache moins à sécuriser des composants techniques (une base de données, un réseau…) que des objets métiers (une transaction, un dossier client…). Offrir une sécurité intrinsèque, adaptée à leur niveau de criticité et à leur exposition à chacun de ces objets devient une caractéristique de base, voire un prérequis. La cybersécurité s’articule donc entre une approche « macro » du risque, envisagée au plus haut niveau de l’entreprise, et une approche « micro », orientée métier et déclinée au sein des projets.

Dès lors, se pose la question de la mise en oeuvre de cette cybersécurité « by design » qui rompt avec les pratiques traditionnelles en intégrant de la sécurité dès la phase de conception, surtout dans les délais réduits des projets digitaux. Comment garantir la sécurité d’une application développée en quelques semaines et la pérenniser au fil de ses évolutions ? Comment maintenir la confiance tout au long de son cycle de vie ? Des approches méthodologiques et des technologies éprouvées permettent d’intégrer les enjeux de sécurité au développement des projets avec, par exemple, la protection des données ou la gestion d’identité numérique. Atos et ses 5 000 experts cybersécurité ont notamment développé et mis en pratique chez plusieurs de leurs clients une démarche permettant de sécuriser les projets.

Cette démarche tient en quatre points clefs :

1. Se préparer et gérer ses priorités : il faut tout d'abord identifier les risques et les menaces associés aux éléments métiers du projet, puis en évaluer la criticité de manière à prioriser les mesures à mettre en oeuvre.

2. Mettre en place une organisation efficace : les rôles et les responsabilités sont clairement attribués en matière de sécurité au sein de l’équipe, ainsi que la fréquence et le périmètre d’intervention des experts sécurité.

3. Réaliser les tests et contrôles au fil de l’eau : la sécurité n’est plus traitée séparément, en toute fin de projet, mais intégrée aux développements et testée au rythme du projet, autant que possible à l’aide d’un framework de développement dédié.

4. Avoir une vision élargie de la sécurité : le cadre technologique et métier dans lequel s'inscrit le projet, ainsi que les ressources techniques ou humaines extérieures mise à contribution, doivent être plus vastes, pour assurer une sécurité de bout en bout.

Pragmatique et très opérationnelle, cette démarche permet en outre à l’entreprise de s’acculturer, de s’outiller et de monter en compétences de manière progressive. Essentielle à la confiance, la cybersécurité devient de plus en plus une condition nécessaire à toute activité. Pour l’entreprise, développer dès aujourd’hui les bons réflexes en la matière, c’est prendre une option décisive sur sa réussite dans le monde hyper-connecté de demain qui ne tiendra toutes ses promesses qu’avec une sécurité « by design » et de bout en bout reposant sur la sécurisation des projets et des objets ainsi que de leur fonctionnement.

Partager


Qui est Laurent Sauphanor

Manager Consulting Gouvernance Risk & Compliance


Suivre ou contacter Laurent


Qui est Jérémy Renard

Director - IS Security Audit and Consulting


Suivre ou contacter Jérémy