Cette semaine, le rapport annuel préparatoire au sommet de Davos 2020 (The Global Risks report 2019) du prochain Forum Economique Mondial, qui ouvre ses portes cette semaine, place les cyberattaques dans le top 5 des risques mondiaux.
Chaque année le Forum Economique Mondial (WEF) classe les risques en cinq catégories (économie, environnement, géopolitique, société et technologie) et selon deux axes avec une échelle de 1 à 5 : leur impact et leur probabilité, évalués par plus de 400 experts mondiaux. Cette démarche d’analyse des risques est similaire à celle utilisé pour les SI.
publicité
On s’en doutait un peu, mais peut-être pas avec autant de force, les cyberattaques dépassent largement le périmètre des SI, au point d’être un facteur de risque systémique global pour influencer l’avenir de la planète.
GreenSI est allé regarder le rapport du WEF de 2012 pour prendre du recul sur cette évolution, car c’est en 2012 la première fois que ce risque apparaissait aux yeux des experts mondiaux en prenant la 4eme place avec un impact de 3,5 et une note de probabilité de 3,8. Il y a 7 ans, seuls deux risques atteignaient les 4/5 en impact :
l’effondrement du système financier (probabilité faible mais on sortait de la crise de 2009)
et une crise pour la fourniture en eau (probabilité plus forte, cf le monde arabe est en stress-hydrique).
Puis, le risque cyberattaques a disparu du radar du WEF pendant 5 ans, jusqu’en 2018 quand il ressors à la 3em place et enfin en 2019 où il prends la 5em place. Les cyberattaques, et la perte d’une infrastructure critique d’information (nb: le protocole internet justement a été créé pour résister à ce type défaillances d’infrastructures réseau), rejoignent donc maintenant le club des risques pouvant avoir le plus d’impact pour la planète, aux côtés des armes de destruction massives et du risque environnemental.
Quelle prise de conscience pour celles et ceux qui œuvrent au quotidien pour la sécurité des SI que d’avoir le destin du monde libre entre leurs mains ! 😉
Heureusement, pour ces professionnels des SI, cette prise de conscience n’a pas attendu que les sages de Davos se penchent dessus. D’ailleurs dans le dernier billet de GreenSI la cybersécurité est l’un des 5 repères à avoir sur son radar en 2020 pour piloter les SI de l’entreprise dans la transformation digitale.
Aujourd’hui les menaces sont bien réelles et surtout beaucoup plus probables. L’assureur Allianz vient d’ailleurs d’annoncer que le risque d’attaque est devenu le risque le plus important.
Mais ce risque n’est pas lié qu’aux bonnes ou mauvaises pratiques internes comme on pourrait le croire dans une démarche de la sécurité un peu trop normative. La réalité c’est que contexte géopolitique renforce la vulnérabilité des SI des entreprises, bien au delà de ce que l’on a connu.
La dernière crise géopolitique iranienne suite à la mort du général Soleimanie peut prochainement faire des dommages collatéraux dans les entreprises si l’Iran mobilise ses capacités cyber-offensives contre les États-Unis. L’état d’alerte est d’ailleurs monté et les cibles peuvent être n’importe quel symbole très visible et pouvant donner des sueurs froides à l’administration américaine. Mais les dommages collatéraux peuvent aussi venir des réponses américaines, comme en 2010 avec le virus Stuxnet, quand ce virus que l’on dit créé par la NSA avec un rôle non officiel d’Israël, a permis de détruire les centrifugeuses Siemens iraniennes d’enrichissement d’uranium. Malheureusement il a également touché des sites industriels, un peu partout dans le monde, qui utilisaient cette même technologie d’automates Siemens…
La sécurité devient de la “cyber-résilience” pour renforcer la capacité des entreprises à répondre à ce type de menaces et de pouvoir continuer de fonctionner en mode dégradé tout en évoluant dans un milieu hostile.
Les systèmes SCADA (Système de Contrôle et d’Acquisition de Données en Temps réel) sont en première ligne. Toutes les entreprises qui les opèrent comme les usines pétrochimiques ou les systèmes de transports maritime et aérien sont potentiellement visées. Ces systèmes pilotent des machines physiques réelles, et permettent donc d’impacter le monde réel, de le désorganiser voire de l’arrêter. Ce sont autant de “portes” sur le monde réel pour créer des dégâts à distance en passant par le monde virtuel des réseaux et du logiciel. Une alternative à un bombardement réel de l’usine.
L’interconnexion des “supply chain” entre entreprises, la sous-traitance d’activités, rendent difficile l’isolation du SI de l’entreprise qui est nécessairement intégré à son écosystème économique. D’autre part, au sein même de l’entreprise le SI connecté se développe rapidement avec l’internet des objets qui joue un rôle plus important pour la régulation et l’optimisation des processus, transformant l’entreprise en une grande usine, dont le fonctionnement n’est pas sans rappeler celui SCADAs, avec toujours plus de “portes” à sécuriser.
Dans ce contexte de crises géostratégiques, la motivation financière des attaques n’a bien sûr pas disparue. Elle s’est même sophistiquée et en Europe la responsabilité de l’entreprise s’est étendue avec sa responsabilité pour la protection des données clients (RGPD).
Les ransomwares sont depuis 3 ans le moyen d’extorquer des fonds aux entreprises. Les entreprises se sont adaptées, même si elles ont encore beaucoup de travail pour suivre la sophistication toujours croissante des attaques. L’arrivée de l’intelligence artificielle montera encore plus haut le niveau des attaques et donc celui des réponses.
Gagner la prochaine bataille de la cyber-résilience nécessite de nouvelles armes et une approche de la sécurité plus dynamique, voire plus offensive. Elle demande bien sûr plus de moyens. C’est ce qui est en train de se mettre en place dans les entreprises les plus exposées. Le Forum International de la Cybersécurité à Lille du 28 au 30 janvier, la référence en Europe sur la “cyber” et la confiance numérique, sera l’occasion de faire le point sur ces nouvelles menaces et les avancées des entreprises.
Les équipes sécurité sont donc amenées à être étoffées. Leur moyens d’action en matière de cybersécurité amenés à être déployées jusqu’aux avant-postes de l’entreprise et du réseau, pour suivre les comportements suspects. Le CISO a autant un rôle opérationnel, autant pour le renforcement de la sécurité, que pour la conduite des opérations lors des attaques, en coordination avec les moyens externes ou gouvernementaux.
Dans ces futurs conflits les employés sont formés en amont pour réduire les risques, mais également adopter le bon comportement sur le terrain lors des attaques, comme défenseurs des actifs numériques de leur entreprise.
La cyber-résilience est devenue essentielle pour développer les activités de l’entreprise en toute confiance. Elle se pense avec tout son écosystème (partenaires, fournisseurs, tiers…), demande de nouvelles collaborations et cherche même de nouveaux alliés. L’importance des systèmes d’information fait que le monde économique repose maintenant sur elle !
Comments