Par Jacques-Bruno Delaroche, Ingénieur Avant-vente Cybersécurité chez Exclusive Networks
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a publié, début mars, un état des lieux des pratiques et réflexions des responsables DSI. Malgré des enjeux de sécurité rythmés ces dernières années par la sophistication des attaques, le rapport démontre que les entreprises continuent d’adopter de mauvais réflexes sur des questions aussi courantes que les mots de passe ou les ransomwares. Décryptage de cet état des lieux.
Ce que dit le rapport du CESIN sur la cybersécurité des entreprises
Le CESIN a lancé, début 2019, une enquête annuelle interrogeant ses membres chargés de la cybersécurité des entreprises. Ce second rapport, publié en mars 2020, est édifiant : selon les réponses récoltées par l’organisme, une grande partie des bonnes pratiques en matière de la cybersécurité ne sont pas appliquées, malgré une actualité rythmée par les fuites de données.
Ainsi, le CESIN relève que 51% des responsables de la sécurité informatique seraient prêts à payer face à un ransomware si la situation l’exigeait, alors que le paiement de la rançon ne garantit en aucun cas la restitution des données, et que 7% des entreprises interrogées ont fait l’impasse sur l’antivirus pour implémenter une solution EDR (Endpoint detection and response), plutôt que de faire jouer la complémentarité des outils de cybersécurité.
La mise en place de politiques « zéro trust », au cœur des enjeux métiers actuels puisqu’elle implique de repenser les process et la gestion des droits d’accès des utilisateurs, n’est engagée que dans 6% des entreprises selon le rapport. Pire : près de 80% d’entre elles sécurisent insuffisamment les devices personnels dans le cadre du Bring Your Own Device (BYOD), qui est aujourd’hui largement démocratisé malgré les interdictions.
Près d’une entreprise sur deux n’a mis aucune mesure en oeuvre pour bloquer l’utilisation de solutions de stockage en ligne comme Google Drive, Dropbox ou OneDrive ; seulement 2% des interrogés ont engagé une approche « sans mot de passe » en implémentant de nouvelles méthodes d’authentification et à peine 12% d’entre eux ont revu leur démarche de sécurisation via un process de « security by design ».
Enfin, l’étude révèle que 45% des entreprises se contentent d’un système de sauvegarde basique, que 33% d’entre elles maîtrisent mal la mise à jour sécuritaire de leurs machines et que malgré l’explosion du nombre de cyberattaques, elles sont 54% à ne pas avoir renforcé leurs dispositifs de sécurité.
Cybersécurité : faut-il tirer la sonnette d’alarme ?
Le rapport du CESIN révèle un état des lieux alarmiste de la progression de la cybersécurité au sein des entreprises. Faut-il pour autant en conclure que la prise de conscience de l’importance de la cybersécurité, après les dégâts causés entre autres par Wannacry, est retombée comme un soufflet ? Pas nécessairement.
Ce sondage est très intéressant puisque ce qu’il interroge les DSI sur des situations potentielles : il permet de cartographier la pénétration de termes de cybersécurité comme l’EDR ou le zéro trust. Néanmoins, il traite d’intentions, et non d’actions réelles : le format de ses questions, proposant aux interrogés d’anticiper une situation qu’ils n’ont jamais eu à affronter, est en fait davantage un micro-trottoir qu’un état des lieux fidèle à la réalité.
En effet, si 91% des entreprises disent être contre le paiement de la rançon en cas d’attaque « critique » par ransomware, combien le font réellement en situation, pour que ce type d’attaque continue d’être très utilisée par les hackeurs ?
De la même manière, plus de 25% des sondés disent ne pas avoir engagé l’implémentation de technologies EDR pour leur cybersécurité. Or, l’un des fondements de l’EDR est l’antivirus. Si, aujourd’hui, les produits « estampillés EDR » sont de plus en plus nombreux, combien comprennent ce qui se cache derrière l’acronyme ?
La question se pose également avec le « zero trust », puisqu’en réalité, la majorité des entreprises ont mis en place cette pratique avant qu’elle ne soit conceptualisée sous ce nom. La non-confiance par défaut, ce n’est pas nouveau, mais l’appellation « zéro trust » a possiblement brouillé la compréhension de la question – et donc biaisé les réponses. Le sondage du CESIN, malgré ses qualités, révèle moins un vote qu’une intention de vote.
4 problématiques clés à retenir sur la cybersécurité
Malgré quelques défauts, ce sondage permet néanmoins de mettre en exergue quatre problématiques à suivre.
1 – Le stockage en ligne
Les chiffres du rapport montrent des résultats disparates sur le stockage en ligne et les mesures de sécurité mises en place pour interdire l’accès à des solutions comme Google Drive ou Dropbox. Des données intéressantes qui indiquent en creux qu’il y a encore beaucoup d’éducation à faire pour combattre les préjugés diabolisant ce type de solutions. En effet, aujourd’hui, malgré les idées reçues, le stockage en ligne est plus sécurisé qu’un datacenter !
2 – Les mots de passe
C’est presque une marotte de la cybersécurité ! Malgré toute la sensibilisation faite sur l’importance de sécuriser son mot de passe en choisissant un code différent pour chaque application qui ne soit pas en relation avec une information personnelle et d’en changer régulièrement, la réalité est que la majorité des utilisateurs continuent d’utiliser des mots de passe trop courts, et que les étapes d’authentification restent insuffisantes.
S’il est complexe d’exiger de chaque utilisateur un mot de passe unique de plus de 30 caractères comprenant majuscules, minuscules, chiffres et caractères spéciaux, des solutions se développent aujourd’hui pour authentifier l’utilisateur de façon plus sécurisée, comme l’authentification biométrique ou l’approche « zero touch » qui sont promises à un bel avenir.
3 – L’Active Directory
Longtemps mise de côté par les entreprises, l’Active Directory consiste à répertorier l’ensemble des éléments d’un réseau administré comme les comptes utilisateurs, les serveurs, les imprimantes, les dossiers partagés, etc. Des terminaux qui peuvent devenir le talon d’Achille du SI, s’ils ne sont pas suffisamment surveillés et/ou protégés.
Le rapport du CESIN insiste sur la mise en oeuvre encore faible de l’Active Directory, à juste titre. C’est une infrastructure essentielle, mais encore trop peu démocratisée, et les pirates l’ont bien compris : elle demeure le point névralgique et la porte d’entrée d’un nombre grandissant de cyberattaques.
4 – La sécurisation des automatisations
Scale out, workflow, automation… Les entreprises ont automatisé un grand nombre d’actions pour accélérer les process et libérer l’intelligence humaine. Néanmoins, l’implémentation de ses automatisations peut, si elle est mal protégée, être une porte d’entrée pour un malware. C’est un point d’autant plus stratégique que si celles-ci ont été bien protégées lors de leur mise en place, il y a de grandes chances qu’elles l’aient été avec les solutions disponibles à cette époque. Or, la cybersécurité, comme les cyberattaques, évolue constamment. C’est donc un point important à surveiller.
Cybersécurité : vers un âge de la maturité ?
Il est toujours complexe de quantifier les progrès à accomplir en termes de cybersécurité : le chemin qu’il reste à parcourir pour les entreprises est sans fin, puisque la cybersécurité est un investissement continu fondé sur un jeu du chat et de la souris avec les hackeurs.
Néanmoins, ce n’est pas parce que les entreprises ont du retard qu’elles doivent avoir peur de la cybersécurité. Au contraire ! Il est primordial de connaître ses vulnérabilités pour mettre en place une politique de cybersécurité destinée à lutter contre les risques actuels… tout en réévaluant régulièrement les menaces et les installations en place.
Ces dernières décennies, la cybersécurité a énormément évolué. L’avènement du web a dopé les attaques, et donc les solutions, et l’on est rapidement passé d’une sécurité périmétrique, pour laquelle un antivirus et un firewall suffisaient, à une démultiplication des risques avec l’explosion des devices et des nouvelles technologies. L’arrivée de la 5G, prévue pour 2021, devrait à son tour bousculer le monde de l’IT en terme de sécurité : avec la démocratisation à venir de l’IoT, un ciblage exponentiel des objets « intelligents » est à prévoir. Finalement, ce n’est pas tant le chemin vers la cybersécurité qui est long, c’est surtout qu’il n’y a pas de ligne d’arrivée.