Select Page

Cybersécurité : pourquoi il faut adopter une approche globale

Cybersécurité : pourquoi il faut adopter une approche globale

Avec l’essor du cloud, de la mobilité ou encore de l’IoT, l’entreprise s’est ouverte aux quatre vents, demandant une supervision centralisée de sa cybersécurité. 

Vendredi 21 octobre 2016, à environ 11h10 UTC, le système de noms de domaines (DNS), DynDNS, a été attaqué par une vaste attaque par déni de service (DDoS), dont l’originalité était de reposer sur une myriade d’objets connectés. Non sécurisés, ils ont été détournés afin d’augmenter la puissance de l’attaque. Transformés en botnets, on estime leur nombre à 380 000. Si les motivations de l’assaillant restent méconnues, cette attaque a eu le mérite de mettre au jour la forme nouvelle que prennent les cybermenaces, sachant s’adapter aux nouvelles routes, insuffisamment protégées.

Alors que les entreprises adoptent les objets connectés à vitesse grand v, se pose plus que jamais la question de leur sécurisation. Une étude récente de l’opérateur AT&T conclut que 85 % des entreprises ont déjà mis en place une stratégie IoT, mais que 90 % d’entre elles s’estiment vulnérables sur ce terrain… L’étude indique également que, dans trois ans à peine, 30 milliards d’objets connectés peupleront la planète. Dans cet environnement qui se complexifie, la seule approche qui vaille pour une entreprise est globale. D’autant que l’IoT n’est pas la seule source de complexification. Le cloud, les API, la virtualisation des réseaux ou du stockage et même le mobile, voilà autant de technologies qui augmentent la surface d’exposition des infrastructures, car elles multiplient les points de contact ou intègrent des intermédiaires, à surveiller.

Un sujet culturel

Classiquement, la cybersécurité repose sur des défenses périmétriques fortes, à l’instar du château au Moyen-Âge. Or, dans un environnement ouvert, « cloudifié », mobile et connecté, le paradigme a changé. Comme les villes, les entreprises s’ouvrent mais pour autant, doivent rester protégées. Pour le cabinet Pierre Audoin Consultants (PAC), « les entreprises et les administrations ne peuvent plus tout protéger, donc elles doivent concentrer leurs efforts sur leurs actifs les plus importants. Pour ce faire, elles doivent adopter une vision globale de leurs systèmes et de leurs problématiques de sécurité et des risques afférents ». Cette approche holistique de la sécurité, basée sur la gestion des risques, nécessite une redéfinition de la stratégie de cybersécurité des entreprises.

D’après Mathieu Poujol, consultant chez PAC et spécialiste des infrastructures et de la cybersécurité, la clé de cette approche globale repose sur l’aide des métiers. Première étape, selon lui : « Classifier les données et les processus critiques de l’entreprise, pour définir les risques ». Deuxième élément, poursuit-il : « Mettre en place une gouvernance de ces risques en accord avec les exigences et impératifs de la transformation digitale ». Vient, enfin, l’adoption des outils. Mais au-delà de l’applicatif, il est capital de noter le changement culturel qu’implique une nouvelle approche : plutôt que de cantonner la cybersécurité à une question d’infrastructure, il s’agit de l’englober dans l’ensemble des activités de l’entreprise, y compris les plus éloignées : cloud, mobile, objets connectés…

About The Author

SCC

Et si nous parlions métiers ?Rendez-vous sur le blog AucoeurdesMétiers
+