AVIS D’EXPERT – Résilience des données : quand les entreprises, trop confiantes dans leur stratégie, se mettent en danger

 

L’IA, qui était auparavant considérée comme une menace abstraite, est devenue bien réelle, tandis que la vitesse d’adaptation des hackers pose un grand défi pour les entreprises. Avec cette évolution technologique, les cybercriminels cherchent désormais à ajouter des chatbots à leur arsenal, dans le but de créer un code malveillant. Le niveau de complexité des stratagèmes de pishing constitue un sujet d’inquiétude majeure. En parallèle, de nouvelles législations voient le jour dans de nombreux pays, dont les institutions sont parvenues à neutraliser plusieurs bandes de cybercriminels, témoignant de leur réactivité. Toutefois, les cybermenaces ne sont pas en voie d’extinction : au contraire, elles s’adaptent très rapidement et prennent de nouvelles formes. Il ne faut donc pas voir, à travers les succès des autorités, une promesse de tranquillité. Le sentiment de calme n’est que temporaire et hasardeux.

 

L’année dernière, plusieurs organisations criminelles majeures comme LockBit, Black Cat ou Black Basta ont cessé leurs activités ou se sont volatilisées, alors même que le secteur semblait en plein essor. Pourtant, en matière de cybersécurité, la seule certitude est l’évolution incessante des méthodes.

Particulièrement frappés par les cyberattaques, les acteurs du secteur financier ont bénéficié de l’adoption simultanée de deux réglementations fondamentales par l’Europe, NIS2 et DORA, destinées à augmenter la résilience et la solidité des entreprises. Certaines entreprises ont donc l’impression de pouvoir diminuer leurs efforts en matière de sécurité car plusieurs Etats envisagent de prendre des mesures strictes à ce sujet. Notamment le Royaume-Uni, qui a mené une consultation sur l’interdiction éventuelle des rançons versées aux acteurs des ransomwares affectant les infrastructures vitales et les organismes gouvernementaux.

 

Récemment, le secteur du commerce de détail a été particulièrement impacté par une succession d’assauts numériques réussis, qui se sont par la suite propagés à travers toute l’Europe. Cette période a donc apporté son lot de défis malgré les progrès récents en termes de législation.  Les nouveaux cybercriminels disposent de motivations distinctes. En effet, la dissolution d’organisations criminelles bien ancrées a permis l’émergence de réseaux plus restreints et de criminels isolés. Pour autant la réduction du nombre de rançons versées ne signifie pas que les assaillants ont relâché ou abandonné leurs tentatives. La plupart de ces nouveaux acteurs opérant les menaces cherchent désormais davantage à causer le plus de dégâts possibles qu’à récupérer les rançons les plus importantes, même si l’argent reste un enjeu central. Les organisations susceptibles de verser les rançons les plus importantes ne constituent plus la priorité de la plupart de ces nouveaux acteurs menaçants, qui préfèrent désormais cibler celles génératrices de perturbations maximales. Pour autant l’argent demeure un enjeu majeur. L’économie des cyberattaques s’articule aujourd’hui autour de deux axes distincts : d’une part, les petits réseaux et les individus isolés qui déploient un volume massif d’attaques basées sur les ransomwares « as a service » visant le chaos maximal ; d’autre part, les acteurs concentrés sur les assauts hautement rémunérateurs, toujours très implantés, qui s’attaquent aux grandes entreprises qui ont d’importantes ressources financières.

 

Ainsi, de nouvelles menaces surgissent continuellement tandis que les risques anciens persévèrent, malgré l’impression de stabilisation dans le paysage de la cybercriminalité.

 

Face à ces transformations, les autorités régulatrices ne sont pas restées passives. Comme évoqué plus haut, NIS2 et DORA ont été mises en place au sein de l’UE, pour consolider la robustesse organisationnelle. NIS2 a eu un fort impact, puisqu’elle rend les cadres dirigeants responsables de la résilience. Ils doivent donc gérer proactivement les risques de cybersécurité et en faire une priorité organisationnelle équivalente à celle des résultats financiers et de l’orientation stratégique. Les entreprises ne peuvent plus se permettre de négliger cet aspect en le plaçant au second plan. Le règlement DORA, bien que limité au domaine financier, apporte des solutions à des problématiques urgentes incluant les menaces liées aux partenaires externes, dans le but de renforcer la résilience au sein d’un secteur particulièrement visé. En parallèle, l’émergence de nouveaux standards de gestion et d’atténuation du risque pour les entreprises, notamment en matière de reporting et d’incident, constitue un aspect vital face à la prolifération des menaces

 

Les exigences réglementaires qui accompagnent ces mesures sont indispensables pour construire une résilience des données mature, capable de résister à la pression exercée par les assaillants numériques. Néanmoins, parvenir à la conformité demeure encore complexe. Six mois avant l’entrée en vigueur de DORA, 96% des fournisseurs de services financiers, opérant en zone EMEA estimaient devoir intensifier leur robustesse informatique pour satisfaire les obligations réglementaires. Antérieurement, avant la mise en application de NIS2, 66% des organisations prévoyaient de dépasser l’échéance de conformité.

 

Il est très important de distinguer la conformité réglementaire et la sécurité informatique. Or, compte tenu de l’ampleur de cet effort, les entreprises ont tendance à interrompre leurs initiatives une fois le seuil de conformité atteint.

 

Entre l’émergence de nouveaux types d’attaquants, qui utilisent des outils toujours plus modernes et efficaces, et le démantèlement de groupes de cybercriminels très organisés qui donne aux entreprises l’impression que la sécurité s’est renforcée, le secteur de la cybersécurité connaît une période de calme relatif, avant le retour de la tempête.

Préoccupées par le respect des normes réglementaires, les organisations risquent de se laisser duper et de négliger la portée véritable des améliorations qu’elles seraient susceptibles de réaliser pour consolider la stabilité et la protection de leurs informations..

 

Face à cette situation, un changement de paradigme s’impose. Au lieu de concentrer leurs efforts sur la riposte aux agressions numériques, l’accomplissement des délais réglementaire et la continuité opérationnelle, les sociétés doivent se concentrer sur la protection informatique interne.

 

Les modèles de maturité appliqués à la fiabilité des données offrent aux entreprises des avantages majeurs, comme une meilleure compréhension de leur position actuelle en termes de résilience, ainsi que la découverte de stratégies pour l’améliorer. Ces référentiels de maturité combinent les différentes dimensions de la résilience en un indicateur unique, qui offre aux entreprises l’opportunité de concentrer leurs ressources sur l’amélioration simultanée de l’ensemble de ces aspects, au lieu d’adopter une approche morcelée.

 

Face à une multiplication des attaques numériques et à des assaillants dont le comportement devient de plus en plus imprévisible, il convient de ne pas négliger la dimension de continuité opérationnelle. Si le scénario initial doit viser un degré de maturité élevé en termes de solidité des données, le scénario alternatif relatif au rétablissement des opérations requiert un développement équivalent, sinon supérieur Les cybermenaces n’attendront pas que les entreprises aient finalisé leur trajectoire vers la résilience des données. Le parcours vers la résilience des données peut prendre du temps.

 

Il devient alors indispensable que les organisations évaluent le temps qui leur est nécessaire pour se relever d’une cyberattaque. Cette précaution leur permettra de déterminer si un tel délai est compatible avec la continuité de leurs opérations. Plus encore, si une action préventive sur leur dispositif de rétablissement est indispensable avant que l’attaque ne devienne réalité.