La seconde édition du Cyber Day, qui s’est tenue dans les locaux de l’École de Guerre Économique le 20 février 2019, fut l’occasion pour Michel Juvin, RSSI (Responsable de la sécurité des systèmes d’information) et membre du CESIN, Benoit Fuzeau, RSSI à la CASDEN Banque Populaire et Christophe Guéguen, DSI (Directeur des systèmes d’information) de Securitas, ont dressé le panorama des cybers attaques en France et dans le monde en 2018, puis élaboré des recommandations pour faire mûrir le secteur cyber.
L’état des lieux des cyberattaques, développé lors de cette masterclass, mettait tout d’abord en lumière que si des milliards de données avaient fuité, comme celles du réseau social Facebook, le grand public ne s’en émouvait pas, ou peu. Cette constatation soulignait donc l’importance d’une vulgarisation des réflexes de prudence à adopter, à commencer par les entourages proches, pour développer une plus grande maîtrise de sa propre image.
Après cette brève introduction, les intervenants du jour ont développé le sujet en sensibilisant l’assistance sur le monde très organisé du cyber-crime. L’évolution du contexte actuel, avec une plus grande digitalisation, permet une augmentation du nombre d’informations acquises par les cyber-criminels, tandis que la migration massive vers le multi-cloud pose la problématique de savoir où sont vraiment stockées nos informations lorsqu’on subit une attaque. De plus, les attaquants gagnent également en maturité et utilisent de plus en plus d’attaques ciblées, ce qui rend ces dernières encore plus difficiles à contrer. Au sein des organisations, 66 % des RSSI se montrent généralement peu confiants en la capacité de leur comité exécutif à prendre en compte les enjeux de la cyber-sécurité. Ce constat souligne donc leur vulnérabilité, accrue par l’augmentation des angles d’attaque des cyber-criminels.
Ce panorama enjoignait donc les intervenants à préconiser l’adoption de quatre axes principaux afin de gagner en cyber-maturité.
Le premier axe concerne la mise en place d’une security checklist et le deuxième axe concerne la compliance avec la mise en place d’un « disaster recovery plan », de process de sécurité, de mener des audits réglementaires et de s’assurer de la continuité du système en cas d’attaque.
Le troisième axe s’attaque aux risques digitaux avec la définition claire d’une organisation de la sécurité, s’assurer d’avoir un SOC opérationnel et être en contact avec le dirigeant de l’entreprise pour le tenir informé de tous ces points.
Enfin, le dernier axe, relatif au « business risk », lié à la résilience de l’entreprise, préconise l’adoption de la supply chain, pour s’assurer d’avoir une bonne communication avec les autres départements de l’entreprise, ainsi que son conseil d’administration.
Pour finir, les intervenants ont insisté sur l’importance d’avoir une organisation claire et structurée, pour se parer au mieux lors d’une attaque. Cette organisation inclut de faire des exercices de simulation et la préparation d’une communication de crise.
Aussi, même si certaines fonctions peuvent être sous-traitées en fonction de la taille de l’entreprise, il est nécessaire d’avoir au moins dix compétences cyber au sein d’une organisation dont un CISO, un ingénieur cyber défense et forensic, un programmeur cyber ou encore un architecte sécurité.
Club Cyber de l’AEGE