mar 15 Mar 2022

Cyber-sécurité : comment savoir si on est bien protégé ?


Avec la montée croissante des cyber-attaques, toutes les organisations cherchent à se protéger le plus efficacement possible contre les hackeurs : de nouvelles lignes de dépense sont créées pour l’achat de solutions, de nouveaux postes sont créés pour avoir des experts qualifiés et de nouvelles formations internes sont mises en place afin de sensibiliser les employés.

Mais est-ce vraiment efficace ? Comment savoir si l’énergie et les ressources mises en place vous permettront de survire à une cyber-attaque ?

Lors de l’externalisation des services conventionnels, tels que le nettoyage de bureaux, le contrôle de la qualité du travail rendu est aisé ; par contre, pour ce qui a trait à la cybersécurité, il n’est possible d’évaluer son efficacité qu’en cas d’incident. Dans ce contexte, de nombreuses organisations pensent être correctement protégées jusqu’au jour de la catastrophe.

Le but de la cybersécurité est de diminuer son risque, et ce risque vient généralement d’un adversaire qu’il faut pouvoir identifier correctement. Qui souhaiterait vous attaquer ? Un gouvernement ? Des hactivistes ? Des concurrents ? Des cyber-criminels ? Il est évident que dans le monde physique, il faut se protéger différemment contre un voleur de rue que contre une unité des forces spéciales ; il en va de même dans le monde cyber. L’identification des adversaires potentiels permet ensuite de déterminer leurs outils, moyens et détermination ; et c’est en appliquant ce raisonnement qu’il est possible de mettre en place des outils et processus adéquats et proportionnés.

Mais ceci n’est que la moitié de la réflexion. Il faut aussi correctement définir ce qu’on cherche à protéger (l’accès à nos données, la réputation de l’organisation, l’intégrité de certains échanges, la capacité de production, ou encore la confidentialité des données) et établir la tolérance au risque.

Cette tolérance au risque est probablement la part de réflexion la plus compliquée à avoir, et celle qui aura la conséquence financière la plus importante. Pendant combien de temps êtes-vous disposé à ne plus avoir accès à vos données ? Si la réponse s’article en minutes ou heures, vous allez probablement devoir acheter tout votre matériel en double et déployer de la réplication en temps réel. Si vous avez une tolérance zéro concernant le vol et fuite de données, alors vous allez devoir utiliser des cryptages très contraignants, limiter les accès de chaque employé et contrôler systématiquement toutes leurs activités.

La gestion du cyber-risque est identique à la gestion de tous les autres risques, mais le côté abstrait des outils de protection à mettre en place, le manque de recule sur les conséquences et les changements rapides des menaces rendent leur gestion bien moins intuitive et demande souvent une expertise spécifique.