Insight 〰️ Et si on arrêtait de jeter l'argent par les fenêtres ?

Tribune par Sylvan Ravinet

Le cyber attaquant n’a qu’un but : mener à son terme l’attaque, afin d’en tirer profit. Pour la catégorie des cybercriminels : c’est obtenir le paiement de la rançon, quitte à négocier.

Pour se préparer, l’entreprise agit de tous côtés, mais rarement avec une véritable stratégie. Souvent, elle adopte une approche de “cyber-conformité” et cherche à appliquer le maximum de règles (exemple RGPD, ISO) ou de recommandations (de son agence de cybersécurité nationale), selon le budget qui est estimé “acceptable” par la direction générale ou le DSI. Des règles dont l’attaquant n’a que faire.

C’est un problème : dans le domaine cyber, les moyens financiers sont trop rarement alloués en fonction des enjeux. Des changements peuvent être constatés suite à un audit, où, selon sa qualité, une amélioration de l’engagement peut être constatée. Mais les budgets cyber sont véritablement débloqués lorsque la conscience est pleinement établie du danger vital pour l’entreprise. Un incident significatif ou une crise cyber sont bien plus convaincants que de bons CISO ou consultants. Au risque d’y laisser des plumes.

Du côté de son risque : le risque opérationnel de l’attaquant est très limité, protégé par de nombreuses couches technologiques entre sa cible et son “repère” numérique. Et plusieurs juridictions étatiques qui coopèrent rarement entre elles.

Dans un contexte très réglementé, comme en Europe avec le RGPD, mener une attaque pourrait même être plus intéressante. Un peu paradoxal, non ? Voici pourquoi : l’opérateur de rançongiciel va menacer de révéler aux tiers (clients, autorités, médias) la fuite de données. C’est le “triple rançonnage”, un mode opératoire qui deviendra courant pour les cibles les plus “appétissantes” comme les grandes entreprises aux marques mondialement connues.

Quelle est la solution ? Mener une véritable approche budgétaire centrée sur les risques, comme le défend McKinsey, le cabinet de conseil en stratégie. Ce qui est loin d’être évident, car la plupart des méthodes d’appréciation et de gestion des risques cyber (ISO 27005, EBIOS…) ne sont pas adaptées à traiter l’échelle de l’entreprise toute entière.

Et il faut aller plus loin : bâtir, entraîner et challenger des capacités cyber pour faire face à ces risques, dans le même concept que celui des forces militaires.

Attention tout de même à conserver des efforts significatifs pour la cyber-conformité (comme le RGPD), sans pour autant la substituer à la cyber-sécurité opérationnelle (EDR, SOC…).

Une note finale ? Pour l’illustration, parmi ces risques, ne retenons pour le moment qu’une famille d’entre eux. L’origine humaine représente 70 à 90% des sinistres déclarés aux assureurs spécialisés. Alors que seul 1 à 2% des budgets cyber sont réellement consacrés au facteur humain. Preuve que la plupart des entreprises (voire même l’ensemble du marché de la cyber) n’a pas nécessairement de véritable approche de “risk management” dans ses orientations de stratégie cyber.

Voilà ce qu’ici on appelle jeter de l’argent par les fenêtres, en cyber.

Sylvan Ravinet, expert en cybersécurité.