Retour

Actualités

20/04/2015
La sécurité est liée à la culture du risque - Analyse de Ben Musso, Chief Security Officer, Reyl & Cie

La sécurisation de l'information ne peut se résumer à des prouesses technologiques ou à des considérations budgétaires.

Enoncée voilà maintenant 50 ans, la loi de Moore prédisait que le nombre de transistors des microprocesseurs sur une puce de silicium allait doubler environ tous les deux ans permettant ainsi la fabrication d’ordinateurs moins coûteux et  plus puissants. Il semblerait que cette règle, proposée par Gordon Moore, un des fondateurs d’Intel, peut tout aussi bien s’appliquer à la cybercriminalité dont la rentabilité est supérieure à celle du trafic de drogue. Selon Edward Amoroso, RSSI de l’opérateur américain AT&T, le montant généré par la cybercriminalité serait de 1000 milliards de dollars, ce chiffre pourrait être sans doute encore plus élevé si toutes les sociétés dans le monde communiquaient sur les pertes financières liées à la cybercriminalité.

Le prestige de certaines cibles ne donne que plus d’ampleur au phénomène. Home Depot, Icann, Sony Pictures, ATM, eBay, Le Financial Times ou encore JP Morgan Chase : les pirates informatiques n’hésitent pas à s’en prendre aux enseignes les plus célèbres.

Le phénomène a atteint une telle importance qu’un rapport de l’OCDE, en 2011, classait la cybercriminalité parmi l’une des cinq plus grandes menaces planant sur l’économie mondiale.

Les banques, et le secteur financier dans son ensemble, sont forcément parmi les entités les plus exposées. Selon le cabinet PricewaterhouseCoopers, le quart des cyberattaques connues menées en 2013 à travers le monde auraient été dirigées contre elles.

Autrefois, le butin des « casses du siècle », version « brick and mortar », s’élevait tout au mieux à quelques dizaines de millions de francs, de dollars ou d’euros. A Genève, l’UBS avait été ainsi délestée, en 1990, de 31 millions de francs en l’espace d’un week-end. Un montant cependant dérisoire en comparaison avec les sommes considérables en jeu aujourd’hui. Ainsi, l’an passé un groupe de pirates informatiques a réussi à détourner plusieurs centaines de millions de dollars après s’être infiltré, sur deux années, dans une centaine de banques. Les souris et les claviers d’ordinateurs occasionnent maintenant beaucoup plus de dégâts que les burins des marteaux-piqueurs ou les mèches des perceuses. A l’ère du numérique, la multiplication des voies d’accès et des protocoles de communication obligent les entreprises financières à déployer d’énormes moyens pour préserver la confidentialité et l’intégrité de leurs données, ainsi que pour garantir la disponibilité de leurs systèmes d’information. Malheureusement, si la cybercriminalité est en plein essor, les budgets alloués à la sécurité de l’information ne suivent pas la même courbe de croissance. Malgré les enjeux, la direction opérationnelle de nombreux établissements considère les outils de lutte contre ce fléau comme des gadgets onéreux. Elle ne mesure pas encore les dangers encourus en raison de cette attitude.

On se croirait presque revenu à la fin des années 80, lorsque l’informatique de bureau a connu de profonds bouleversements avec l’arrivée des réseaux locaux, des progiciels de gestion puis des applications client/serveur. A l’époque, beaucoup d’entreprises n’avaient pas évalué à sa juste mesure les conséquences de ce tournant décisif, tardant à moderniser leurs systèmes d’information.

Il en va de même aujourd’hui pour la sécurité de l’information, qu’il est préférable de ne pas catégoriser comme une mode passagère. Plutôt qu’une pièce « ajoutée », il s’agit d’une pièce essentielle qui doit trouver naturellement sa place à la charnière du dispositif des Technologies de l’Information et de la Communication (TIC). Dans l’échelle des priorités, il est grand temps de la faire remonter au plus haut, exercice particulièrement délicat.

Face aux menaces résultant de l’imagination débordante des pirates informatiques et aux ressources dont ils disposent (temps et main-d’œuvre illimités, outils logiciels peu coûteux), il est toujours plus compliqué de se protéger. Certes, que ce soient les pare-feu, les contrôles d’accès ou les systèmes de détection d’intrusions, les solutions ne manquent pas, mais aussi sophistiquées soient-elles, elles ne suffisent pas. En effet, il est devenu tout aussi important, sinon plus, de se protéger des risques provenant de l’intérieur même de l’entreprise. Les comportements inadéquats des employés, volontaires ou non, sont souvent à l’origine des incidents. Il suffit par exemple de l’ouverture inconsidérée d’un email infecté pour créer une brèche dans le système de sécurité de l’entreprise. Mais dans ce cas, il existe des solutions techniques efficaces telles que les systèmes de filtrage des emails (email gateway, email filtering).

L’existence d’une culture du risque, liée à la sécurité de l’information, est la base d’un système pour se défendre face à la cybercriminalité. Cette culture du risque, c’est-à-dire l’appropriation, par l’entreprise, des enjeux de la sécurité de l’information, doit être communiquée et inculquée à tous les acteurs concernés, membres de la direction opérationnelle et collaborateurs.

La sécurité de l’information ne peut se résumer à des prouesses technologiques ou à des considérations budgétaires. Les responsables de la sécurité ou de l’IT doivent pouvoir s’appuyer sur des décideurs qui se sentent concernés. Celle-ci ne doit pas être vue comme un centre de coûts, mais comme un maillon fort du processus de création de valeur. La sécurité réclame l’adhésion de tous. Après tout, sa finalité n’est autre que la protection de l’entreprise, de ses clients, de son patrimoine, de ses collaborateurs et de leur sphère privée et, enfin, de ses actionnaires.