Retour d’expériences aux Rencontres de la cybersécurité

Dans le cadre de cette journée d’échanges entre les acteurs de la cybersécurité à Lyon, le 24 octobre, retours d’expériences très féconds sur les différents ateliers concernant les enjeux et les propositions dans ce domaine.

La menace sur le système d’information des entreprises, collectivités publiques, ou institutions nationales est bien réelle et multiforme. Au-delà des cyberattaques fortement médiatisées, aucune organisation n’est à l’abri de sérieux dommages et pertes financières. Le bilan pour 2018 du site d’assistance et prévention du risque numérique, cybermalveillance.gouv.fr, est à ce titre éloquent. La majorité des entreprises est touchée par des cyberattaques ; près de 80 % d’entre elles en ont constaté au moins une en 2018. L’an passé, le phishing s’imposait comme principale menace, devant les détournements de compte, les pourriels, et les virus dont les ransomwares

Dans ce contexte, l’intelligence artificielle est souvent évoquée pour réduire le délai de détection des incidents. La présence de codes malicieux dans le système d’information des organisations avant qu’ils ne soient activés ou détectés est actuellement de 6 mois en moyenne, souvent beaucoup plus. Mais l’intelligence artificielle est également utilisée à des fins malicieuses. Les « deepfakes », à savoir la modification réaliste de vidéos ou enregistrements audio pour tromper les victimes n’en sont qu’à leur début, mais constituent déjà une illustration du phénomène. La lutte contre ce type de menaces suppose une vigilance constante et une collaboration étroite entre autorités et chercheurs en cybersécurité

Industrie 4.0 : l’IT et OT ne se parlent pas

Philippe Genoux, directeur général de l’Exera (Exploitants d’Équipements de mesure, de Régulation et d’Automatismes) insiste particulièrement sur l’absence handicapante de véritable dialogue entre l’IT et l’OT (Operational Technology). Ce dernier sigle désigne l’utilisation du numérique pour contrôler des systèmes industriels (ICS) tels que ceux de tranches de centrales nucléaires ou de chaînes de production. L’attaque d’une raffinerie pétrolière par le dangereux maliciel Triton en 2017 illustre le risque encouru par les grandes installations industrielles.

Sébastien Lapique, responsable de l’agence Auvergne-Rhône-Alpes Digital Security, note qu’en phase de run, il manque des compétences en cybersécurité. Mais cela ne s’arrête pas là. Vincent Riondet, directeur Delivery de Schneider Electric cite l’imprécision de l’inventaire des ressources numériques : « il manque des architectes réseau et de structuration dans les traitements des données ».

En outre, les anciens automatismes et chaînes de production peuvent rarement recevoir des correctifs, un frein important à la sécurisation des systèmes industriels. L’hétérogénéité des normes et standards industriels n’aide pas non plus : « cela entraîne des délais et problèmes au niveau des donneurs d’ordres », précise Philippe Genoux. Et bien sûr, il reste encore des mots de passe de type admin ou 12345 pour l’accès aux firmwares et systèmes. 

Le mur des budgets

Dans le monde de la santé, les bonnes intentions semblent se heurter aux réalités. Agnès Buzyn, Ministre de la Santé, a ainsi annoncé en avril 2019 un vaste chantier pour intensifier la sécurité et l’interopérabilité du système d’information de santé. Ce plan envisage, notamment, de doter tous les acteurs d’un identifiant public stocké dans un référentiel national. Mais selon un RSSI présent à ces rencontres, cet ambitieux projet souffre d’un manque de moyens budgétaires. Qui plus est, le personnel hospitalier est trop occupé pour respecter à la lettre toutes les procédures de sécurité.

Autre point de friction, les délais de décision très longs sur les appels d’offres qui peuvent aller jusqu’à deux ans alors que les menaces évoluent sans cesse. Les RSSI ont très peu accès aux élus et la hiérarchie est plutôt lourde. Alors sans surprise, le Shadow IT pose au moins autant de problèmes de sécurité dans le public que dans le privé.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)