Cyberattaques en entreprise : réalité de la menace et parades possibles

Plus les atteintes à la sécurité des services dans le cloud se succèdent et plus elles sont spectaculaires, moins il est aisé d’en mesurer la réelle portée. Dans cet article et notre webinaire du 11 octobre 2016 à 16h00, Fabien Tanguy, architecte chez Intel Security, sera l’invité d’Orange Cloud for Business. Il y fera la lumière sur les points critiques de la sécurité du cloud, son évaluation et sur les parades possibles.

Cyberattaques : une réelle menace et de nombreuses victimes

L’émergence et la généralisation du cloud a eu un impact pour les fonctions les plus transverses de l’entreprise, mais ce n'est pas là que le danger est le plus net. Pour celles liées au cœur de métier de l’entreprise, les menaces sont peut-être peu médiatiques, mais bien réelles.

Le Shadow IT est sur le radar des DSI depuis bien longtemps, mais son impact va bien au-delà de la simple perte de contrôle, notamment du fait de l’hébergement des données hors de l’entreprise, sur des espaces publics.

Fabien Tanguy nous cite un exemple frappant : « un grand groupe pharmaceutique souhaitait simuler la composition d’une molécule. La DSI promettait la mise à disposition des outils nécessaires dans les 8 ou 9 mois (sic) ». L’équipe souhaitant progresser plus rapidement a utilisé un service en ligne, arrivant à ses fins en à peine 1 mois. Certes, cela est plus efficace, mais quand on sait que la mise sur le marché d’une nouvelle molécule est une opération très complexe avec des enjeux de millions, voire de milliards d’euros, la sécurité des données revêt une bien plus grande importance et mérite un peu de patience.

Ce ne sont pas les derniers cas de perte de données qui vont rassurer les DSI : Microsoft, Apple, Ebay, Evernote, Dropbox, Adobe, etc. Ces dernières années, presque tous les grands acteurs de l’internet ont subi des cyberattaques entraînant un vol de données (cf. infographie ci-dessous).

 

Figure 1 : Les principales brèches de sécurité des trois dernières années (infographie interactive)

Pourtant, les apparences sont trompeuses et les menaces les plus critiques ne sont pas forcément les plus visibles. Si les chiffres vus précédemment sont impressionnants, les pertes n’ont pas les mêmes conséquences d’un cas sur l’autre. C’est pourquoi la France a fixé des règles concernant certains acteurs appelés « Opérateurs d’Importance Vitale » (OIV), qui ont des activités indispensables ou dangereuses pour la population.

Selon la loi, ces opérateurs ont les obligations suivantes :

  • « Former leurs responsables et leurs directeurs de la sécurité tant au niveau central qu’au niveau local » ;
  • « Après une analyse de risques, établir un plan de sécurité opérateur prenant en compte les attendus de la directive nationale de sécurité au titre de laquelle ils ont été désignés opérateurs d’importance vitale » ;
  • « Identifier leurs points d’importance vitale qui feront l’objet d’un plan particulier de protection (PPP) à leur charge et d’un plan de protection externe (PPE) à la charge du préfet de département ».

L’impact des cyberattaques sur l’économie

Selon Fabien Tanguy, ce niveau de sécurité ne doit pourtant pas se cantonner aux seuls OIV, mais à l’ensemble des entreprises, en mettant l’accent sur un sujet crucial et pourtant peu étudié : l’espionnage industriel. Il précise que la Communications Fraud Control Association avance le chiffre pharamineux de 46 milliards d’euros de manque à gagner chaque année pour les entreprises françaises du fait de ce phénomène, soit environ 2 % de la richesse annuelle produite en France.

« Fin 2014, une cyberattaque a eu cours dans une aciérie allemande, prenant le contrôle des fourneaux et détruisant les infrastructures en désactivant les systèmes de sécurité » nous a expliqué Fabien Tanguy.

La check-list de la sécurité dans le cloud

Si le risque zéro n’existe pas, certains bons réflexes peuvent éviter à l’entreprise des risques et de lourds dommages. Pour cela, Intel nous propose cette check-list :  

  • Réglementation et conformité ;
  • Localisation des données ;
  • Niveau de criticité des données ;
  • Qui gère les données ? 
  • Ratio importance de la donnée / économies réalisées ;
  • Garanties contractuelles (SLA) ;
  • Traçabilité des données et responsabilité ;
  • Authentification et single sign-on ;
  • Couverture des services dans le cloud ;
  • Audits en exploitation.

Fabien Tanguy nous la détaillera lors du webinaire organisé le 11 octobre 2016 à 16h00.
Webinathon n°10 sur la sécurité dans le cloud.

Yann Gourvennec

Pour aller plus loin

Webinathon n°10 – 11/10/2016 à 16 h 00 : Sécurité du cloud : comment évaluer les risques ?
Webinathon n°10 - 11/10/2016 à 13 h45 : Secure Cloud : la réponse française au Patriot Act ?
Sécurité du cloud : pourquoi utiliser un Cloud Privé Virtuel ?
4 conseils pour améliorer la sécurité des données dans le cloud

Yann Gourvennec

Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre,  je contribue régulièrement sur ce blog pour le compte d'Orange Business sur les sujets du cloud computing et du stockage dans le cloud.