Cybersécurité. Pourquoi faudra-t-il commencer par le haut ?

L’information était passée sans faire trop de bruit. Début mai dernier, en séance plénière à la Chambre des représentants, et en réponse à une question d’un parlementaire MP (Mouvement populaire), le ministre délégué auprès du chef du gouvernement, chargé de l’Administration de la Défense nationale, Abdellatif Loudiyi, avait fait savoir que le Maroc avait recensé "pas moins de 577 cyberattaques qui ont été identifiées et neutralisées en 2021".

Les tentatives malveillantes ont été détectées par le tout nouveau Centre de veille, de détection et de réponse aux attaques informatiques relevant de la Direction générale de la sécurité des systèmes d’information. Une infrastructure récente dans le cadre de la mise en œuvre de la loi 05-20 relative à la cybersécurité.

Secret défense oblige, pas plus de détail n’a été fourni à ce sujet. Mais il suffit de se tourner vers le reste du monde pour saisir l’ampleur d’une menace imminente et universelle à la fois.

Voici une phrase pour commencer : "Le 23 février, le monde de la cybersécurité a franchi une nouvelle ère : celle de la guerre hybride." C’est en ces mots que le géant Microsoft a choisi d’ouvrir l’édition 2022 de son Digital Defense Report. Dès les premières lignes, on comprend que la guerre Russie-Ukraine a définitivement tracé un avant et un après dans le monde de la cybersécurité.

Une année plus tôt, Tom Burt, vice-président de la sécurité et de la confiance des clients chez Microsoft, mettait déjà en garde contre une "cybercriminalité devenue plus sophistiquée, plus répandue et implacable".

Avant d’ajouter : "[En 2021], les criminels ont ciblé des infrastructures critiques (santé, technologies de l’information, services financiers, secteurs de l’énergie) avec des attaques (...) paralysant les entreprises et nuisant aux consommateurs." Des secteurs qui continent d’être les principales cibles des assaillants en 2022.

Faille "temporelle" à combler

En tête des nouvelles menaces figurent principalement les Ransomwares. Traduisez, "logiciels de rançon". C’est un type d’attaque ciblant les dossiers et fichiers, empêchant le propriétaire de l’appareil affecté d’accéder à ses données.

Toujours selon Microsoft, "le cybercriminel peut ensuite extorquer de l’argent au chef d’entreprise en échange d’une clé permettant de déverrouiller les données chiffrées. Toutefois, il est possible que les cybercriminels ne fournissent pas la clé permettant de rétablir l’accès au chef d’entreprise, même si la rançon a été versée".

Et il est bien temps de s’en rendre compte une fois pour toutes : la sécurité ne porte pas que sur la protection des données. L’intelligence artificielle et l’IoT (Internet des objets) combinés à l’accélération de la transformation digitale font que les attaques causeront des dommages estimés à plus 1.000 milliards de dollars d’ici à 2025, contre "seulement" 3 milliards en 2015, estime le Cabinet Cybersecurity Ventures dans une récente étude.

Les chiffres laissent perplexes. Et partout dans le monde, les gouvernements, comme l’a souligné Microsoft dans son Digital Defense Report, adoptent également de nouvelles lois et allouent davantage de ressources car ils reconnaissent que la cybercriminalité est une menace pour la sécurité nationale.

Et c’est, paraît-il, le cas du Maroc, qui depuis l’adoption de la loi 05-20 et son décret d’application, a vu son classement grimper de 43 points et se classer 50e à l’échelle mondiale, selon l’Indice mondial de la cybersécurité, publié par l’Union internationale des télécommunications.

Pourtant, il ne faut jamais oublier qu’en cybernétique, l’erreur est très souvent humaine. Selon une récente étude menée par des chercheurs de la prestigieuse Stanford University, intitulée Psychology Of Human Error, 88% des brèches étaient causées par l’inadvertance des employés.

Nivellement par le haut

Dans le monde de l’entreprise, c’est quasiment un postulat : les CEO/PDG ont pour principale mission de définir les priorités stratégiques, mais il leur incombe aussi de personnifier les valeurs et les croyances afin de favoriser une meilleure action de leur organisation.

Or, la cybersécurité paraît encore reléguée au niveau de "tâche opérationnelle", ne requérant que très peu l’attention des dirigeants, hors temps de crise. Et il paraît qu’il en est partout ainsi dans le monde.

En mars dernier, deux chercheurs de la prestigieuse MIT Management School ont publié leurs recommandations afin d’expliquer le modus operandi selon lequel les Top-dirigeants peuvent grandement renforcer la défense de leurs institutions.

Leur constat de départ était que les organisations "les moins matures" avaient tendance à décharger la responsabilité sur le département de la technologie, généralement sous les auspices du directeur de l’information ou du directeur de la sécurité de l’information, tandis que les organisations "plus matures" renforcent la culture de la cybersécurité à trois niveaux :

Au niveau du leadership : un PDG qui parle de sécurité lors des réunions indique clairement à tous les membres de l’organisation qu’elle fait partie intégrante des valeurs de l’entreprise. De facto, l’ensemble des cadres "non cyber", y compris le conseil d’administration, sont visiblement alignés sur la mission et affichent les comportements appropriés.

Au niveau du groupe : les problèmes de cybersécurité commencent à imprégner les discussions entre les employés et à s’infiltrer dans la façon dont les équipes travaillent ensemble. Les autres cadres commencent à prendre les initiatives de rechercher eux-mêmes les moyens de se prémunir contre d’éventuelles attaques. C’est ainsi que toute l’équipe commencent à se diriger vers les bonnes pratiques.

Au niveau individuel : les employés acquièrent une conscience générale des types de menaces possibles et se sentent habilités à agir s’ils rencontrent quelque chose de suspect. De plus, ils savent exactement quoi faire en cas d’incident. Par exemple, comment et où signaler un incident d’e-mail de phishing ou signaler une personne suspecte sortant avec un ordinateur portable.

Ne jamais cesser de questionner

Pareille mécanique ne peut être effectivement activée que si les dirigeants s’impliquent à poser quelques questions d’ordre stratégique à leurs équipes.

Récemment, des chercheurs du même MIT ont publié un article scientifique  intitulé Cybersécurité : 7 questions urgentes que les conseils d’administration ont besoin de poser. Ci-après l’essentiel, en continuité du modèle décrit ci-dessus.

Que doit-on protéger ? On ne pourra jamais tout protéger. Et là encore, il incombe au top manager de définir les priorités : s’agit-il des données clients, de vos systèmes et processus opérationnels ou de la propriété intellectuelle de votre entreprise ? Se demander ce qui est protégé et ce qui doit l’être est une première étape importante. S’il n’y a pas d’accord sur ce qu’il faut protéger, le reste de la stratégie ira mal.

Quelles sont les grandes lignes de notre stratégie ? La protection est assurée par plusieurs couches de défense, procédures et politiques, et par d’autres approches de gestion des risques. Les top dirigeants n’ont pas besoin de décider comment mettre en œuvre chacune de ces couches, mais ils doivent chercher à savoir, au moins, quelles couches de protection sont en place et dans quelle mesure chaque couche protège l’organisation.

Quels symptômes détecter en cas d’attaque ? Étant donné que de nombreuses violations ne sont pas détectées immédiatement après leur apparition, le dirigeant doit s’assurer de savoir globalement comment une violation est détectée, pour ensuite décider quel est le niveau de risque acceptable.

Qui doit riposter et comment ? Certes, le ou les dirigeants ne sont pas directement impliqués dans la stratégie de riposte, mais ils doivent néanmoins savoir quels cadres et dirigeants font partie du plan de riposte ? Quel est leur rôle ? Qui alerte et quelles autorités sont alertées ? Qui parlera aux médias ou pas ? Et cela devra être prédit avant de crouler sous le rush de l’attaque.

Quels scénarii pour la reprise d’activité ? D’après la même étude, de nombreux dirigeants interrogés ont affirmé ne pas avoir testé leurs plans de reprise d’activité. La récupération des données peut être différente si tous les enregistrements sont détruits ou corrompus par un acteur malveillant qui crypte les fichiers ou les manipule. Les dirigeants, pour leur part, doivent savoir s’il existe un plan pour y parvenir et s’il a été testé en pensant à un cyber-incident.

A-t-on assez d’argent ? Il existe, au moins, deux façons d’y parvenir : les simulations de cyberattaques et les tests de pénétration/vulnérabilité. Ces actions exposent les vulnérabilités, permettent de minimiser les dommages potentiels en fonction de la priorité, de l’exposition aux risques et du budget, et garantissent en fin de compte un investissement approprié en temps, en argent et en ressources.