Transversal
5. Plus de technologie, plus de risques ?
Objets connectés, intelligence artificielle… Le développement de nouvelles technologies offre un accroissement de ressources pour les attaquants informatiques. Pour accompagner ces innovations, pourvoyeuses de performances pour l'entreprise, la sécurité doit se trouver aux premières loges de leur conception.
Le sondage du Cesin, mené par OpinionWay en janvier 2019, révèle que 98 % des 174 répondants estiment que, dans leur entreprise, la transformation numérique a un impact sur la sécurité des systèmes d'information et des données. Et pour 39 % des sondés, le principal défi à relever pour le RSSI en ce qui concerne l'IoT concerne les failles de sécurité. « Plus vous ajoutez de l'intelligence artificielle ou de la connectivité entre les objets, plus vous aurez des failles dans lesquelles pourront s'engouffrer les hackeurs », confirme Olivier Lasmoles, professeur associé en droit et chef du département “Supply chain management et Sciences de la décision“ à l'EM Normandie. Ces objets connectés, couplés à l'utilisation croissante de l'intelligence artificielle, se révèlent des cibles de choix pour la cyber-criminalité.
Multipliant les points d'entrée pour les attaquants, ils contribuent à l'augmentation de la menace cyber déjà en hausse avec l'extension générale de la digitalisation. « Les objets connectés sont de plus en plus présents dans nos vies et la mise en place d'une sécurité minimale est souvent oubliée, observe Julien Payet, coordinateur sectoriel à l'ANSSI. Nous prônons la “security by design”. L'objectif est que les fabricants mettent en place un minimum de sécurité dès la conception de leurs produits pour éviter ensuite la réussite d'attaques basiques ». Dans ce grand processus d'évolution technologique, tous sont concernés, grands groupes comme sociétés moyennes qui n'échappent pas à cette vague digitalisée car « à l'avenir les ETI utiliseront tout autant de l'intelligence artificielle et des robots que les grands groupes », corrobore Philippe Trouchaud, associé PwC, spécialiste en cyber-sécurité.
Analyser les risques des produits
Face à l'extension de ces menaces, la conduite d'une politique de gestion de risques prend alors tout son sens. « Depuis 2010 et le virus Stuxnet, à chaque étape du développement d'un produit, nous menons des analyses de risques qui vont permettre d'évaluer les scénarios de menaces et le type d'attaquants desquels on souhaite le protéger. Cela nous permet, tout au long de son cycle de vie, d'adapter les mesures de protection. Que ce soit dans le monde de l'intelligence artificielle, du big data ou de l'internet des objets, nos outils et services ne coupent pas aux analyses de risques et à la mise en place de ces protections », témoigne Jean-Christophe Mathieu, coordinateur sécurité de Siemens France. Chez le prestataire logistique ID Logistics, la prise en compte des nouveaux cyber-risques apportés par les dernières évolutions technologiques fait partie de l'ADN de l'entreprise : « Nous nous adaptons à chaque nouvelle évolution, qu'elle soit tournée sur la partie IoT ou sur la partie supply chain avec des échanges d'information toujours plus importants dans l'entrepôt connecté. La sécurité est la première brique éprouvée avant d'installer une nouvelle solution. Notre personnel administrateur est vraiment sensibilisé à l'intégration de la security by design », témoigne Laurent Condamine, directeur des systèmes d'information d'ID Logistics.
Si l'intégration de l'IoT ou de l'IA n'a plus à prouver sa plus-value, permettant d'automatiser des actions redondantes pour se concentrer sur des tâches à valeur ajoutée, la nécessité d'accompagner ces nouvelles technologies au sein d'une politique axée sur la sécurité ne va pourtant pas toujours de soi. « L'IoT est en pleine explosion dans la supply chain, développe Loïs Samain, RSSI adjoint du groupe EDF Renouvelables. On en trouve par exemple énormément en marques blanches [un service ou un produit conçu par une entreprise que d'autres entreprises reprennent à leur compte et commercialisent sous leur propre marque] et il arrive souvent que l'on perde ensuite la trace du fournisseur et qu'on ne sache pas mettre les solutions à jour alors qu'elles peuvent présenter des vulnérabilités. D'autre part, les objets connectés sont souvent petits et ont besoin de consommer le minimum d'énergie. Or, mettre en place des mécanismes de sécurité comme la cryptographie consomme de l'énergie, conduisant certains à faire le choix de passer outre la sécurité pour rendre l'outil plus efficace. Cette situation est néanmoins en train de bouger : en Californie, par exemple, une loi est en préparation pour demander aux producteurs de solutions d'IoT de mettre en place une sécurité minimum [elle pourrait entrer en vigueur en 2020] ». Ces progrès technologiques, qui ouvrent de nouvelles portes tout en exposant à de nouvelles menaces, impliquent donc une veille et une adaptation permanente de la sécurité informatique, d'autant que les évolutions et innovations ne devraient cesser de croître à l'avenir : « L'investissement dans la technologie ne se démentira pas, les entreprises seront toujours plus appétentes en particulier dans la supply chain parce que cela donne des gains d'efficacité de l'ordre de 3-4 % par an », observe Philippe Trouchaud. Face à ce constat, charge aux entreprises d'agir en conséquence et de s'armer pour parer les menaces cyber engendrées par leur digitalisation croissante. « Il faut réfléchir de façon rationnelle et non dogmatique. Et dans cinq ans, il y aura encore de nouvelles évolutions technologiques et les problèmes ne seront plus les mêmes ce qui demandera d'adapter de nouveau sa posture… », explique Emmanuel Gras, cofondateur et CEO d'Alsid, membre du Cesin.
Savoir être résilient
De par l'emprise informatique grandissante des sociétés, il est admis qu'aucune entité ne peut aujourd'hui déclarer qu'elle ne subira jamais d'attaque cyber. Une réalité qui leur impose de travailler leur capacité à revenir à des conditions opérationnelles normales le plus vite possible : la cyber-résilience. « On n'a pas le choix, la digitalisation est là. Il ne s'agit donc pas de reculer mais de savoir anticiper parce qu'à un moment, il faudra sauter. Il faut donc s'entraîner à une gestion de crise, à l'inconnu, à l'urgence, à travailler ensemble », juge Olivier Lasmoles. Il compare le cyber-attaquant au cambrioleur : « Un jour ou l'autre, quelqu'un parviendra à rentrer, quelle que soit la cryptographie, mais il s'agit de voir combien de temps il va mettre, comment il va élaborer son processus, etc. Et si vous faites une ronde, des audits régulièrement, vous finirez par tomber sur lui… ». L'aptitude à répondre de manière coordonnée et efficace à une attaque constitue aujourd'hui un sujet d'attention pour les entreprises qui mettent en place, pour certaines, un plan de continuité informatique d'activité en mode dégradé : « Dans le passé, une attaque cyber, c'était un peu comme une maladie honteuse, on ne voulait pas en parler parce que cela pouvait impacter la réputation d'une entreprise et éventuellement la mettre en difficulté, lui faire perdre des clients, etc. Aujourd'hui, les entreprises ont compris qu'il valait mieux parler et contrôler sa communication plutôt que de la laisser se déverser de manière non contrôlée sur les réseaux sociaux. Et on voit maintenant des entreprises qui ont été attaquées communiquer et ainsi montrer que leur capacité de résilience participe à leur bonne réputation », détaille Philippe Cotelle, risk manager d'Airbus Defence & Space, président de la commission SI de l'Amrae, administrateur de la Ferma (Federation of europeans risk management associations).
Au même titre que des exercices d'alarme incendie, les sociétés effectuent également aujourd'hui des exercices d'attaque cyber : « Nous recourons avec nos clients à des tests d'intrusion, témoigne Laurent Condamine d'ID Logistics, c'est-à-dire que nous sollicitons des entreprises externes pour réaliser des tests afin de savoir s'il y a des failles de sécurité dans nos systèmes et ceux de nos clients ». Une capacité de cyber-résilience qui se doit d'être opérationnelle sur toute la supply chain : « Il est extrêmement important de travailler également avec ses sous-traitants. Concrètement, lors d'un incident de sécurité qui peut les impacter, comment gérer l'entreprise étendue ? Est-il prévu dans les contrats d'avoir un point de contact cybersécurité pour pouvoir échanger ? Tous ces critères sont à prendre en compte », juge Loïs Samain. Le sondage mené par le Cesin montrait en janvier 2019 que 50 % des sociétés interrogées avaient souscrit une cyber-assurance, mais que seuls 12 % avaient déjà mis en place un véritable programme de cyber-résilience. Pour 21 % ce n'était pas un projet tandis que 33 % étaient en train de le mettre en place et que 34 % l'envisagaient. Si les consciences s'éveillent en la matière, en particulier chez les grands groupes, une sensibilisation demeure encore à réaliser, chez les petites et les moyennes entreprises. Un constat réalisé par les auteurs de l'étude Les dirigeants d'ETI face à la menace cyber (Bessé et PwC, 2018) qui indiquent : « La posture rationnelle, voire parfois attentiste des dirigeants d'ETI est compréhensible. Mais elle ne peut être une réponse efficace face à ce risque d'une nouvelle génération dont les spécificités singulières font qu'il serait vain de rechercher à en acquérir la pleine maîtrise avant d'agir. L'objectif devrait plutôt être d'organiser la cyber-résilience des ETI face à cette menace d'une extraordinaire complexité ».