Pourquoi les entreprises de TI doivent adopter une nouvelle approche en matière de cybersécurité – la question n’est plus « si », mais « quand »

D’après un nouveau rapport, les appareils Ido (Internet des objets) et la technologie prêt-à-porter ainsi que les nouveaux systèmes de paiement mobiles et balises IdO utilisés dans le commerce de détail figurent, cette année, parmi les principales cibles des cyberattaques.

Share this article:

Lorsque Raytheon descend dans l’arène, c’est un signe évident que la lutte contre les pirates informatiques a dégénéré en une guerre généralisée.

L’entreprise Raytheon demeure néanmoins plus connue dans le domaine de la guerre que des logiciels. (Il s’agit de ses propres termes, non des miens; son site Web fait référence à la « guerre électronique » dans la liste de ses activités, sous la rubrique « Ce que nous faisons ».)

Raytheon existe depuis 1922. Ses systèmes de radar ont permis aux Alliés de remporter la Seconde Guerre Mondiale et ses tubes à micro-ondes, de retransmettre la célèbre phrase de Neil Armstrong « Un petit pas pour l’homme, un pas de géant pour l’humanité » à la Terre lorsque ce dernier a posé le pied sur la Lune en 1969.

Aujourd’hui, Raytheon est l’un des principaux entrepreneurs du secteur de la défense sur cette planète. C’est elle qui fabrique les missiles Patriot. Désormais, l’entreprise intervient en première ligne dans la bataille contre les pirates informatiques : en 2015, Raytheon a déboursé plus de 1,5 milliard de dollars américains afin d’acquérir la société Websense, spécialisée dans la sécurité des TI.

« Déjà en septembre 2013, nous avions pris la décision de nous lancer dans des activités de cybercommerce », a confié Thomas Kennedy, chef de la direction de Raytheon, à l’hebdomadaire Defense News en mai dernier. Il a ajouté que l’acquisition de Websense contribuait à l’objectif de Raytheon d’assurer la cybersécurité des échanges commerciaux liés à la défense au sein du marché commercial ».

La nouvelle division, baptisée Raytheon/Websense, a récemment publié ses prévisions en matière de cybersécurité pour 2016. Son rapport dresse la liste des principales cibles de TI à surveiller cette année, dont :

  • les dispositifs prêts-à-porter et autres appareils Ido, qui rendent encore plus floue la ligne déjà fragile qui sépare les données personnelles des réseaux d’entreprise;
  • les nouveaux systèmes de paiement mobiles et balises IdO utilisés dans le commerce de détail, qui deviennent de plus en plus prisés;
  • les infrastructures Internet vieillissantes truffées de failles de sécurité; et
  • les noms de domaine de premier niveau génériques nouvellement introduits comme « .car » ou « .wine » qui représenteront une cible plus vaste pour les attaques par ingénierie sociale et autres cyberattaques.

Le rapport met également de l’avant un argument essentiel, qui fait écho aux origines militaires de Raytheon : la meilleure défense consiste à présumer qu’une attaque est inévitable.

Les pays forment leurs soldats et s’assurent de pouvoir compter sur un plan de défense même en temps de paix, n’est-ce pas? D’après Raytheon/Websense, les directeurs de TI devraient adopter le même type d’approche face aux cyberatteintes, la question n’étant plus « si », mais « quand ».

Selon les conclusions de cette étude, une hypothèse commence à se répandre parmi les professionnels de la sécurité : il faudrait agir « comme si on était déjà en danger ». « Les entreprises qui garderont à l’esprit l’essentiel cesseront de vouloir obtenir à tout prix la « protection parfaite ».

Carl Leonard ne possède pas, à ma connaissance, d’antécédents militaires, mais il a passé plus d’une décennie et demie dans les tranchées de la cyberguerre. En tant qu’analyste principal de la sécurité chez Raytheon/Websense, il m’a expliqué lors d’un entretien téléphonique en quoi consistait ce nouvel état d’esprit.

« Il est impossible de se protéger contre toutes les attaques. Il vaut donc mieux se préparer à n’importe quelle brèche de sécurité pour pouvoir la détecter dès qu’elle se produit et mettre en place des processus qui permettront de remédier au problème dans l’avenir. », a-t-il précisé.

Comme M. Leonard me l’a expliqué, cela implique notamment de « comprendre où se trouvent vos données, de déterminer comment les protéger dans votre environnement (et) de prendre conscience que cet environnement ne se résume pas uniquement à votre propre réseau physique, mais qu’il s’étend dans le nuage ».

Cela signifie donc que vous devez sans cesse évaluer les menaces qui ciblent vos données, chiffrer ces données – « afin qu’elles ne puissent être d’aucune utilité pour personne en cas de fuite » pour reprendre les propos de Carl Leonard – et atténuer les dommages éventuels quand (et non si) un incident se produit.

Si l’on en croit le sondage sur la cybersécurité de 2015 réalisé par Deloitte en décembre dernier, il est vraiment indispensable que les entreprises canadiennes intègrent ce nouvel état d’esprit. Ce rapport révèle qu’une seule entreprise sur dix est extrêmement bien préparée contre les cyberattaques, que moins de la moitié d’entre elles effectuent des évaluations périodiques de leurs vulnérabilités et des dangers et que seulement 22 % seraient en mesure de redresser rapidement la situation si elles étaient la cible d’une d’attaque.

L’adoption de cette nouvelle approche ne signifie pas qu’il faille baisser les bras. Il s’agit plutôt d’adopter une vision plus réaliste de la bataille, tout en acceptant que vos dispositifs de sécurité ne seront pas toujours à l’épreuve du feu. Ce pourrait être un petit pas pour un directeur de TI, mais un pas de géant pour la sécurité de toute une entreprise.

Image: Free Digital Photos

 

Share this article:
Comments are closed.