Brian Jackson - Fotolia
Le succès des attaques ? Des défenses incapables de suivre leur parcours
L’édition 2016 de l’étude de Cisco sur la sécurité fait ressortir des entreprises dotées de systèmes de défense encore largement périmétriques, et à la conscience limitée de la valeur de leur patrimoine informationnel au sein de leur environnement économique.
Cisco a profité de l’édition 2016 du Forum International de la Cybersécurité, le FIC, qui se déroulait à Lille en début de semaine, pour présenter les résultats de son étude annuelle sur la sécurité des systèmes d’information. Premier constat : 54 % des entreprises sont confiantes dans leur capacité à détecter une attaque ainsi qu’à s’en défendre… alors même que seulement 45 % confiance dans leur capacité à évaluer l’ampleur d’une attaque et à y remédier. Mais comment se défendre si l’on n’est pas sûr de l’étendue des activités de l’attaquant ?
Une traçabilité des attaques limitée
Initialement perplexe face à la question, Christophe Jolly, responsables des ventes pour la division sécurité de Cisco en France, avance une explication : « je pense que les entreprises manquent d’outils d’investigation ». De quoi laisser à penser qu’elles ne sont pas véritablement armées pour prendre la pleine mesure d’une attaque. « Pendant longtemps et encore aujourd’hui, même si les choses évoluent, la sécurité informatique se limitait à détecter une attaque lorsqu’elle survient. Je déploie un pare-feu pour réduire mon exposition, des outils de détection, et je prie pour que mes signatures soient à jour lorsque l’attaque passe. Mais une heure après, on ne sait pas par où elle est passée ».
Pour lui, donc, beaucoup d’entreprise en sont encore là, « à mettre des barrières » pour se protéger d’une éventuelle attaque en espérant qu’elle ne passe pas au travers, mais disposer de systèmes de suivi pour remonter son parcours au cas où elle passerait. Et justement, en cas d’attaque réussie, cette approche s’avère particulièrement problématique, car si signatures arrivent après le passage de l’attaque, une occurrence ultérieure pourrait être détectée… mais la trace de l’attaque initiale ne pourra pas plus l’être.
Evitant avec élégance de jeter la pierre à qui que ce soit, Christophe Jolly juge donc que « la sécurité reste très perfectible dans beaucoup d’entreprises. Certains sont plus avancés de d’autres ». Et cela varie notamment selon les secteurs d’activité. Des variations qui sont notamment liée à la pression réglementaire : « plus le secteur est réglementé depuis longtemps et plus il y a de chances que les processus de sécurité soient intégrés à l’activité ».
Une conscience encore limitée de but des attaques
Mais le plus préoccupant est peut-être trahi par d’autres chiffres. Ainsi, selon l’étude de Cisco, 21 seulement 21 % des entreprises informent leurs partenaires des attaques dont elles sont victimes, et 18 % des autorités. A croire que près de sept ans après l’attaque dont été victime RSA, mais seulement en tant que maillon d’une chaîne plus vaste, les entreprises ne prennent pas la mesure de leur valeur au sein de leur écosystème.
Et là, Christophe Jolly concède « un problème de compréhension », soulignant au passage que, « lors des grandes attaques médiatisées l’an dernier, les victimes ne se sont généralement mises à communiquer que lorsqu’elles se sont retrouvées dans les cordes, parce que l’outil de production était atteint. L’outil de production s’arrête et on ne peut plus nier les choses. Et l’on se met à communiquer dans la panique ».
Dans ce contexte, la situation des TPE/PME a de quoi préoccuper. L’an passé, selon Cisco, le nombre de ces entreprises utilisant des solutions de sécurité a reculé de plus de 10 %. Toutefois, le nombre d’entre elles ayant recours à des services de sécurité managés progresse de plus en plus vite : 23 % de croissance en 2015, contre 14 % en 2014. L’illustration, peut-être, d’un ajustement du marché avec le développement de l’offre, d’une part, et d’une conscience accrue des TPE/PME des limites de leurs capacités propres.