Cybersécurité : à l’heure de la contre-attaque
Particulièrement coûteuses, les cyberattaques menacent et perturbent toujours plus les entreprises comme les gouvernements et la société. Heureusement, un arsenal de normes permet d’anticiper.
La cybercriminalité est en hausse. Alors même que nous entrons pleinement dans l’ère du numérique, celle dite de la Quatrième révolution industrielle, les conséquences de telles attaques, toujours plus sérieuses et sophistiquées, se font de plus en plus sentir. Du fait de l’habileté croissante des cybercriminels, nous sommes toutes et tous touchés d’une manière ou d’une autre.
Les cyberattaques peuvent aller du piratage de systèmes et de médias sociaux aux attaques par hameçonnage, en passant par les logiciels malveillants intégrant des rançongiciels, l’usurpation d’identité, l’ingénierie sociale ou les attaques par déni de service. Elles sont douloureuses tant sur le plan personnel que financier, causent des dommages et des destructions considérables et contribuent à accroître la vulnérabilité de la société et des individus. Selon l’éditeur de logiciels de sécurité informatique McAfee, le coût de ces cyberattaques, qui s’élevait à près de USD 1 000 milliards en 2020, continue d’augmenter.
Un risque accru au niveau mondial
Alors même que la pandémie de COVID-19 nous rend de plus en plus dépendants des systèmes numériques, il n’est guère surprenant que le Rapport sur les risques mondiaux 2022 ait à nouveau inclus les menaces pesant sur la cybersécurité parmi les principaux risques auxquels le monde est confronté. Selon ce rapport, les défaillances en matière de cybersécurité se sont considérablement aggravées et pourraient bien compromettre notre prospérité sur le long terme.
Dès lors, comment garder une longueur d’avance ? La mise en place d’un bon système de cyberdéfense ainsi que l’anticipation des menaces sont des éléments clés de la lutte contre la cybercriminalité, mais faute de plans de gestion des cyber-risques crédibles et sophistiqués, la résilience et la gouvernance sont compromises. « La cybercriminalité est un phénomène à la fois national et international qui se propage à grande vitesse, affectant les entreprises, les gouvernements et la société dans son ensemble. L’ampleur et la complexité de cette activité criminelle ont des conséquences considérables et préjudiciables, et la situation demeure floue car les cybercriminels opèrent par-delà les frontières nationales en s’appuyant sur les infrastructures techniques », explique M. Edward Humphreys, expert en cybersécurité.
Les défaillances en matière de cybersécurité se sont considérablement aggravées.
En conséquence, ajoute-t-il, la collaboration internationale est essentielle et les Normes internationales sont indispensables à la protection mondiale. M. Humphreys s’appuie sur ses nombreuses années d’expérience en entreprise. Il est également chercheur principal spécialisé dans les cyber-risques, la sécurité et la cyberpsychologie, et a contribué à diverses études portant sur l’innovation en matière de SMSI. Il est en outre l’Animateur du groupe de travail ISO/IEC chargé de la gestion, de l’élaboration et de la révision d’ISO/IEC 27000, une famille de normes sur les systèmes de management de la sécurité de l’information (SMSI).
Solutions et contrôles
Selon lui, les Normes internationales offrent des solutions aux organisations pour mettre au point des cadres et des systèmes permettant d’évaluer et de gérer la situation – dans le but de protéger les données et de sécuriser les applications et les services, ainsi que les infrastructures nationales.
La première étape de la lutte contre la cybercriminalité consiste à connaître les risques auxquels vous êtes confronté, puis à décider des mesures de contrôle à mettre en œuvre pour atténuer ces risques. M. Humphreys indique que des normes telles que celles de la famille ISO/IEC 27000, élaborées par l’ISO et la Commission électrotechnique internationale (IEC), sont de facto adoptées par des organisations souhaitant mettre en place des solutions robustes pour lutter contre la cybercriminalité. Cette famille de Normes internationales établit un système de gestion qui s’inscrit dans le processus de management du risque, lequel consiste à évaluer les risques, puis à déterminer les mesures de contrôle nécessaires pour les traiter.
La première étape de la lutte contre la cybercriminalité consiste à connaître les risques auxquels vous êtes confronté.
« Il existe une série de normes à l’appui d’ISO/IEC 27001, comme la norme ISO/IEC 27005 sur la gestion des risques liés à la sécurité de l’information ou les lignes directrices d’ISO/IEC 27003 pour la mise en œuvre d’ISO/IEC 27001 », précise-t-il. « Il existe en outre de nombreuses normes offrant un soutien technique pour la mise en œuvre d’ISO/IEC 27001, notamment en vue de sécuriser les réseaux et d’intégrer des éléments de sécurité au niveau des technologies, des services et des applications. »
La préparation est le maître-mot
M. Humphreys insiste sur la nécessité pour les entreprises d’être préparées pour faire face à ces attaques. « Les cyberattaques peuvent avoir lieu n’importe quand et n’importe où, et ce qui est certain, c’est que ces attaques vont certainement se produire, mais nous ne pouvons jamais être sûrs du moment et du lieu », explique-t-il. « La préparation est une étape fondamentale pour la survie d’une entreprise. Cela implique la mise en place d’un processus afin d’être en mesure d’anticiper et d’identifier, de détecter et de signaler les incidents, ainsi que d’analyser ces derniers pour décider de quelle manière il convient d’y faire face. » Tout cela doit être fait rapidement et au bon moment pour limiter l’impact éventuel d’un incident.
Les cyberattaques peuvent avoir lieu n’importe quand et n’importe où.
Alors comment s’assurer que les entreprises sont mieux préparées ? Lorsqu’une entreprise détecte une attaque par le biais d’un code malveillant ou par déni de service, plus elle réagit rapidement en prenant des mesures de sécurité appropriées, plus elle a de chances de limiter la propagation de ces attaques ainsi que l’impact et les dommages potentiels. Par ailleurs, comme le rappelle M. Humphreys, il existe des normes qui aident les entreprises à se préparer afin de réagir de façon adéquate, comme ISO/IEC 27035 pour la gestion des incidents, ISO 22301 pour les systèmes de management de la continuité d’activité et ISO/IEC 27031 pour la préparation des TIC.
Agir collectivement
Dans un monde par nature incertain, la cybercriminalité peut s’avérer dévastatrice sur le plan financier. Elle peut également perturber les activités des entreprises et les infrastructures nationales et affecter les individus et la société. Par exemple, une attaque sur un maillon de la chaîne d’approvisionnement peut se propager et donc perturber et endommager d’autres maillons. Pour favoriser la mise en place de systèmes de cybersécurité plus sûrs et plus robustes, M. Humphreys estime que la gestion de la chaîne d’approvisionnement illustre à quel point il est nécessaire d’agir collectivement, en impliquant tous les maillons de la chaîne pour en assurer la sécurité.
« Là encore, explique-t-il, il existe des normes qui contribuent à la sécurité de la chaîne d’approvisionnement, comme ISO 28000 et ISO/IEC 27036. Une action collective est également nécessaire dans divers scénarios impliquant des relations commerciales et des communications avec d’autres organisations. Il existe un groupe de normes de management qui aideront à renforcer la résilience pour contrer les perturbations commerciales et ainsi veiller à la pérennité de l’organisation et de son système de gouvernance. Il s’agit notamment des normes ISO 22301 (systèmes de management de la continuité d’activité), ISO/IEC 27001 (systèmes de management de la sécurité de l’information) et ISO/IEC 27014 (gouvernance de la sécurité de l’information). »
Avec des entreprises toujours plus dépendantes de leur connectivité, de l’infrastructure qui la supporte et du recours à l’Internet et aux dispositifs mobiles, il est plus nécessaire que jamais d’assurer la sécurité et la résilience des systèmes. M. Humphreys reconnaît que les normes doivent évoluer pour s’adapter aux progrès rapides des technologies. « La troisième édition de la norme ISO/IEC 27002, par exemple, a été publiée au premier trimestre 2022. Cette norme très médiatisée traite des mesures relatives à la sécurité de l’information. Elle a été mise à jour pour répondre aux progrès technologiques, à l’évolution des entreprises et des pratiques commerciales, ainsi que de la législation et de la réglementation. »
En 2021, ajoute-t-il, de nombreux progrès ont été réalisés en termes de normalisation, notamment en ce qui concerne la sécurité et la confidentialité de l’Internet des objets (IoT), des big data et de l’intelligence artificielle, ou la protection des informations biométriques. Toutes ces avancées sont complétées par des spécifications techniques publiées récemment, telles qu’ISO/IEC TS 27570, qui propose des lignes directrices sur la protection de la vie privée dans l’écosystème des villes intelligentes, et ISO/IEC TS 27100, qui indique comment créer ou perfectionner des cyber-systèmes robustes de protection contre les cyber-attaques. La famille complète de normes ISO/IEC 27000 et ces spécifications techniques constituent un socle qui nous aidera à bâtir et à assurer un avenir sûr.