transformation digitale

Expertise

Transformation digitale et cybersécurité

« Cloud », « Internet des Objets », « Mobilité », « Big Data », etc. : la transition digitale modifie profondément et constamment le fonctionnement des entreprises. D’après notre étude, la transformation digitale est l’un des 3 enjeux prioritaires pour 58% des entreprises. Dans ce contexte de digitalisation et de dématérialisation croissantes, les risques de faille de sécurité ne cessent de s’intensifier.

Vu et entendu : un cabinet d’architecte victime d’une cyberattaque

Afin de faciliter la communication et l’échange de données avec ses clients, un cabinet d’architectes a déployé un portail web permettant l’échange de documents entre clients et architectes. Des mesures de sécurité avancées ont été introduites afin de protéger ce portail web et les données qui y transitent. La sécurité du portail web a été un argument de vente de taille qui a même permis au cabinet d’attirer de nouveaux clients.

Malgré cela, des cybercriminels ont contourné le portail et attaqué le SI du cabinet à travers son serveur de messagerie.

Un test d’intrusion ou même un scan de vulnérabilité aurait pu permettre de déjouer cette attaque. Une étude complète du cycle de vie de la donnée aurait permis d’identifier le moment et l’endroit où les données étaient le plus exposées. Enfin, une certification de type ISO 27001 aurait eu un bénéfice double : une meilleure réputation et une meilleure gestion de la sécurité.

Décryptage

Les exemples de cyberattaques en lien avec la transformation digitale sont nombreux. Le développement de l’Internet des Objets notamment – Gartner prévoit 21 milliard d’objets connectés en 2020 ! – crée des problématiques nouvelles de sécurité et de confidentialité. Dans le domaine de la voiture connectée, une étude a récemment montré que presque 100% des véhicules actuellement sur le marché utilisent des technologies sans fil insuffisamment sécurisées. Des hackers ont par ailleurs démontré qu’il était possible d’infiltrer le système de ces véhicules par simple SMS. Les dispositifs de sécurité en lien avec les systèmes industriels sont également une cible de plus en plus privilégiée des hackers. Une aciérie en Allemagne a été en 2014 la cible d’une cyberattaque qui a déréglé le réseau interne des systèmes de contrôle et conduit à de graves dégâts au sein de l’infrastructure. Face à ces risques, le monitoring des infrastructures industrielles doit être accru, la réduction d’actions manuelles favorisant les cyberattaques mais aussi l’implication de spécialistes sur la question. Dans le secteur du retail, d’importants distributeurs ont été victimes ces dernières années de vols de données clients, opérés à partir d’appareils situés sur les points de vente. Les distributeurs doivent se préparer à ce type de fuite massive des données, en sécurisant leurs propres banques de données, mais aussi celles de leurs fournisseurs.

La clé du succès est d’adopter une approche secure by design pour se prémunir du mieux possible des cyberattaques. Dès la conception et les premières étapes de mise en œuvre d’un nouveau service (application, plateforme, Cloud….) les modèles et Framework utilisés ainsi que l’architecture proposée doivent minimiser les impacts et réduire la possibilité de réaliser des actions malveillantes. Les entreprises peuvent migrer vers le « secure by design » en trois étapes :

  • En créant des environnements virtualisés et sécurisés.
  • En comprenant le comportement « normal » qui sera attendu sur l’application (charge serveur, échange de données, accès, connectivité externe), pour détecter les situations à risques quand elles se produisent et pouvoir réagir en conséquence.
  • En créant dès la conception les plans de reprise d’activité, suite à différents scénarios d’attaque.

Les attestations et certifications SOC2, PCIDSS, ISAE402 et ISO2700X permettent également de se prémunir contre d’éventuelles failles et de garantir un niveau de sécurité adéquat pour le fonctionnement des nouveaux services proposés par l’entreprise. L’intégration de ces derniers points devient de plus en plus prise en compte par les fournisseurs Cloud.