Quelles solutions pour muscler sa cybersécurité ?

« Le monde supply chain a du retard dans le domaine. On observe aujourd'hui le même processus de prise de conscience et de mise en place de solutions que celui qui a touché les entreprises de services ou le secteur bancaire dans les années 2000 », analyse Jean-Marc Soulier, CEO du cabinet de conseil Metis Consulting (groupe Wavestone). Une montée des risques qui accompagne la digitalisation en cours au sein des entreprises. « Récemment, nous avons été contactés par un acteur du e-commerce dont les opérations avaient été impactées par l'intrusion d'un rançongiciel dans leur système. Celui-ci était entré par le PC de la société de maintenance qui s'occupait d'une solution de type shuttle installée sur leur site », raconte Jean-Marc Soulier.

Identifier les vulnérabilités

Pour répondre à cette fragilité croissante des réseaux face à des attaques qui se multiplient, il revient donc aux entreprises de prendre en main leur cybersécurité. Un travail qui passe en premier lieu par l'identification des risques. « Il y a au moins deux natures de risques pour une entreprise, juge Ali Fawaz, senior manager de la practice cybersécurité du cabinet de conseil Wavestone. Tout d'abord, le risque lié aux opérations. C'est un domaine auquel les responsables de la supply chain sont très souvent sensibilisés, mais où la question de la cybersécurité n'est pas toujours considérée comme étant une partie intégrante de la chaîne de production. Et puis il y a la question des risques induits sur le reste de l'entreprise : je suis responsable de mon environnement mais une compromission au sein de celui-ci pourrait avoir par rebond des conséquences sur un autre environnement ou un autre site auquel je suis connecté. Ces risques peuvent également dépasser mon périmètre par leurs impacts. Cet aspect peut concerner par exemple les différents sites industriels d'une même entreprise ou, plus largement, la totalité de ses systèmes d'information. »

Il s'agit donc de faire l'inventaire de l'ensemble de ses équipements afin d'identifier les vulnérabilités de son système. « Historiquement, le monde industriel a souvent fonctionné en vase clos par rapport à la direction des systèmes d'information et n'a pas toujours une connaissance claire de l'ensemble des éléments qui composent son parc et sont liés au système d'information. Il est pourtant crucial d'identifier les équipements les plus critiques et exposés pour en adresser les risques cyber », précise Ali Fawaz. Mais il faut aussi avoir conscience de ses informations sensibles, comme le souligne Brice Gilbert, ingénieur confiance numérique pour l'Afnor : « Il faut répertorier les actifs et les éléments de valeur – logiciels, données ou brevets. Une fois cela fait, il faut mesurer le risque avec des méthodes telles que l'Ebios (Expression des besoins et identification des objectifs de sécurité). Ces processus peuvent aussi bien être menés par un responsable de la sécurité des systèmes d'information (RSSI) en interne qu'avec l'aide d'un cabinet spécialisé ». Des outils peuvent être mis en place dans le but de cartographier l'ensemble du réseau et des audits peuvent également être réalisés sur des sites afin d'évaluer leur niveau de cybersécurité. « Nous avons des équipes de test d'intrusion qui vont travailler avec nos clients pour trouver les vulnérabilités des systèmes industriels et en analyser les risques potentiels », détaille Ali Fawaz.

Des éditeurs spécialisés

En sachant où se situent ses faiblesses, l'entreprise peut ainsi prioriser le déploiement de ses solutions de cybersécurité et se focaliser rapidement sur les périmètres les plus exposés. Pour Ali Fawaz, cette démarche doit débuter par la mise en place d'une architecture adaptée. « Dans un premier temps, une segmentation entre les SI industriels et les SI de gestion est souvent mise en place. Cela ne suffit pas toujours. On peut aller plus en profondeur en durcissant les systèmes, en les mettant à jour, en disposant des solutions de détection, en gérant les comptes selon l'importance des risques ». Dans ce domaine, de nombreux éditeurs sont désormais présents sur le marché et peuvent accompagner les entreprises. Parmi eux, Forcepoint, acteur américain de la cybersécurité affichant 20 000 clients dans le monde, principalement en Europe. « Pour nous, il faut faciliter l'intégration et l'utilisation des solutions de cybersécurité, car la complexification nuit à la sécurité », juge Christian Guyon, responsable d'activité avant-vente chez Forcepoint. « Notre rôle en tant qu'éditeur n'est pas de tout remettre en cause mais de nous adapter aux architectures existantes ». Ayant récemment mis en place sa solution Secure Enterprise chez FM Logistic, l'éditeur propose un pilotage des réseaux via une console de management pour la surveillance et la visibilité des réseaux. « L'idée est d'avoir une vision immédiate de ce qui se passe sur le système d'information, avec des alertes qui permettent aux gestionnaires d'être proactifs pour diagnostiquer les anomalies », souligne Christian Guyon. « Notre solution permet de détecter et de prendre des décisions face à du trafic réseau suspect. Filtrage des accès, vérification des contenus de fichiers, nous comprenons tous les profils d'attaques », ajoute Vincent Dubois, sales engineer chez Forcepoint.

Autre acteur du secteur, l'éditeur CyberArk se spécialise lui dans la sécurisation des accès privilégiés. « Nous mettons sous contrôle les comptes d'administrateurs des réseaux en obligeant l'ensemble des connexions et des opérations à passer par notre solution. Cela nous permet de monitorer les opérations et l'utilisation de ces comptes et de détecter automatiquement tout mouvement suspect », explique Jean-Christophe Vitu, VP solutions engineer ENEA chez CyberArk. « Notre solution isole l'environnement sans modifier l'expérience utilisateur afin de ne pas être un frein à la production ». Des solutions qui doivent être pensées sur le long terme. « Nous accompagnons nos clients avec des tests de santé réguliers qui leur permettent de tester leur compréhension des menaces », explique Christian Guyon pour Forcepoint. Même son de cloche du côté de CyberArk : « Ce type de chantier n'a pas de date de fin. Une fois le système mis en place, il faut pouvoir l'adapter à tous les nouveaux types d'accès et toutes les modifications de l'environnement. Nous fournissons des méthodologies et des mécanismes automatisés pour effectuer ces évolutions sans qu'elles ne représentent une charge opérationnelle trop lourde », souligne explique Jean-Christophe Vitu.

La cybersécurité, une culture d'entreprise

La mise en place de ces solutions a un coût. Selon l'ANSSI, le budget des mesures de cybersécurité devrait désormais représenter entre 5 et 10 % du budget informatique des organisations. « Dans le secteur bancaire, la cybersécurité représente des investissements très élevés, avec des budgets pluri-annuels de l'ordre de 300 millions d'euros. Du côté des grands industriels, on peut atteindre les 70 millions d'euros. Ce sont des chiffres colossaux. Le secteur de la logistique n'a pas encore atteint cette dimension car nous sommes plutôt dans une phase de prise de conscience des risques, mais les besoins vont vite s'accélérer », juge Jean-Marc Soulier. Un poids financier qu'il s'agit de prendre en compte et de mettre en relation avec le coût potentiel d'une attaque. « En dehors des coûts associés à la remise en oeuvre, au nettoyage, à la réparation ou à la récupération des données perdues, il faut peser le coût d'un arrêt complet d'activité pendant plusieurs jours. L'outil informatique est devenu tellement important aujourd'hui que les pertes peuvent être massives. Là où la cybersécurité était une contrainte de coûts, les directions financières commencent à la percevoir comme un risque inhérent à l'activité », juge Jean-Christophe Vitu.

Mais la question cyber ne doit pas être l'apanage des services informatiques des entreprises. Au contraire, c'est un véritable travail de fond qui doit être mis en place pour former l'ensemble des équipes à ces problématiques en suivant des bonnes pratiques, avec des processus organisationnels forts. « La cybersécurité est aussi une question d'organisation en entreprise et de communication. Avant de parler de solutions techniques, il faut sensibiliser les équipes », insiste Brice Gilbert. Car l'erreur humaine commise par des imprudences dans l'utilisation informatique est encore à l'origine de nombreuses failles de sécurité, comme l'explique Julien Payet, coordinateur sectoriel à l'ANSSI : « 80 % des attaques auraient pu être évitées par l'application de règles de base et si il y avait eu suffisamment de sensibilisation auprès du personnel en amont et au niveau de la gouvernance. » Des règles essentielles de sécurisation des équipements numériques, faciles à mettre en oeuvre et ne nécessitant presque aucune capacité d'investissement, qui sont au coeur de nombreux documents et guides publiés par l'ANSSI sur son site internet afin d'aiguiller les entreprises. Mises à jour régulières des logiciels dès leur publication par les éditeurs, précautions dans la réception des e-mails externes, accréditation du matériel à des utilisateurs précis ou encore chiffrement des données sensibles sont autant de bonnes pratiques qui peuvent faire la différence en cas d'attaque. « L'ANSSI nous a beaucoup aidés pour la mise en place de notre cybersécurité, organisant des démonstrations sur les différents types d'attaques et offrant beaucoup de préconisations. Nous restons en veille régulièrement sur leur site », explique Alain Perez, directeur des systèmes d'information de l'éditeur supply chain MGI. Plus généralement, il s'agit aussi pour les organisations de prendre en compte la question de la cybersécurité dans l'ensemble de leurs projets. « Certains de nos clients commencent à demander à leurs fournisseurs, au moment de la signature des contrats, des clauses précises concernant leur cybersécurité. C'est un sujet à développer. Dès lors qu'une composante technologique et digitale existe dans des projets d'entreprise (comme l'IoT ou l'automatisation dans la supply chain), la question de la cybersécurité doit être intégrée, par exemple avec une analyse de risques et la mise en place de solutions adaptées », estime Ali Fawaz.

La cyber-assurance, bientôt indispensable ?

Autre angle de cette sécurisation face aux risques cyber, celui des assurances qui proposent désormais des contrats ciblant précisément ce domaine. C'est le cas de la compagnie d'assurance QBE Europe SA/NV qui propose une offre intitulée QBE Cyber Response. « Aujourd'hui, aucune entreprise ne peut dire qu'elle ne sera jamais visée par une cyberattaque. L'offre d'assurance devient donc un élément-clé de la gestion du risque, et permet aux entreprises d'avoir la certitude qu'elles bénéficieront d'une prise en charge, aussi équipées qu'elles soient en solutions de cybersécurité. Tout le monde est dépendant de son système d'information. D'ici quelques années, une police d'assurance cyber pourrait devenir aussi standard qu'une police d'assurance classique comme la responsabilité civile », estime Amanda Maréchal, souscriptrice cyber de QBE. Et l'intérêt du secteur de la supply chain est là. « Nos clients en logistique et transport sont très demandeurs de solutions de cyber-assurance. Ils sont devenus des cibles de choix pour les hackeurs, puisqu'ils rassemblent de nombreux clients et partenaires », détaille Amanda Maréchal.

D'autant que le prix d'une attaque peut être lourd pour une entreprise, comme le montrait l'étude menée en 2018 par Ifop pour Kaspersky Lab qui estimait le coût moyen d'un piratage pour une PME. Si celui-ci ne dépassait pas 10 000 euros pour 64 % des entreprises attaquées, il pouvait atteindre jusqu'à 100 000 euros pour 6 % d'entre elles. La police d'assurance de QBE se base ainsi sur plusieurs piliers qui couvrent les différents frais pouvant affecter une entreprise attaquée. « Tout d'abord, les problématiques de responsabilité civile. Nous prenons en charge les conséquences pécuniaires et les frais de défense qu'une entreprise peut être tenue de payer au titre d'une réclamation d'un tiers ou dans le cadre d'une enquête d'une entité comme la Cnil. Ensuite, nous intervenons en vue de protéger l'activité de l'entreprise. Les cyber-attaques peuvent entraîner des arrêts de production (causant des pertes d'exploitation et des frais supplémentaires) qui ont des coûts très important. De plus, les rançongiciels restent l'un des premiers formats d'attaque en France. Dans ce cadre, notre offre peut couvrir les frais négociation, le remboursement de la rançon… ». Un élément crucial dans le cadre de certaines cyber-attaques. En 2017, le rançongiciel NotPetya avait ainsi détruit des systèmes entiers de données chez plusieurs entreprises.

Réagir en cas d'attaque

Tous les acteurs s'accordent aujourd'hui pour dire que toute organisation sera un jour confrontée à une cyber-attaque, quel que soit son niveau de protection. Il ne s'agit donc pas pour les entreprises d'être passives dans la préparation d'une gestion de crise, mais au contraire de mettre en place des scénarios de réponse et des processus permettant d'agir rapidement. « Cela peut passer par des fausses campagnes d'attaques ou de mails frauduleux par exemple, afin d'entrainer les équipes à ce type de situations », souligne Brice Gilbert de l'Afnor. QBE propose également la mise en place de tests d'intrusion externes gratuits à certains de ses clients TPE et PME, avec l'aide de son partenaire SysDream. « Ce type de structure n'a pas toujours les budgets pour lancer ces tests, alors qu'ils sont pourtant cruciaux pour avoir une vision sur les failles et vulnérabilités d'un système », juge Amanda Maréchal. En cas d'attaque avérée, des assistances sont proposées par les différents acteurs. Du côté de Wavestone, c'est une Computer emergency response team (Cert) qui peut intervenir. « Cette équipe d'experts peut aider à évaluer une suspicion d'attaque puis gérer la crise si besoin est », explique Ali Fawaz.

Ce sont trois chantiers parallèles qui se lancent alors : tout d'abord comprendre d'où vient l'attaque en récoltant des informations, puis essayer de circonscrire son périmètre en isolant les terminaux infectés, et enfin reconstruire pour faire repartir le business. Des actions qui doivent être mises en place rapidement, avec une priorité sur l'isolation des systèmes compromis, pouvant mobiliser des équipes conséquentes. « Il nous est arrivé de déployer une équipe de notre Cert d'une trentaine de consultants en 24/7 pour gérer une crise juste après une attaque chez un client », souligne Ali Fawaz. Du côté de QBE, une assistance à la gestion de crise est également comprise dans l'offre de cyber-assurance. « Nous nous sommes associés sur ce sujet à Inquest, filiale du groupe français GM Consultant. Le client peut ainsi contacter très rapidement un consultant qui va prendre en charge l'incident et l'accompagner dans sa résolution. C'est un élément essentiel pour les PME et ETI que de pouvoir compter sur l'intervention d'experts informatiques pour assurer la continuité de l'activité », estime Amanda Maréchal. Prévention, déploiement de solutions, assistance en cas d'alerte : les solutions proposées sont nombreuses. Reste aux entreprises à les saisir selon leurs besoins et leurs organisations. « Aujourd'hui, il ne faut plus se demander si l'on doit faire quelque chose, mais plutôt ce que l'on doit faire », résume Ali Fawaz.