Il est temps de prendre la mesure de l'impact du cybercrime !

Le site de rencontres extraconjugales Ashley Madison vient de subir un piratage massif de sa base de données. Une actualité qui, une fois de plus, nous rappelle le rôle central que peut jouer la sécurité IT.

L’actualité nous rappelle encore une fois que les nombreux acteurs du secteur numérique n’ont pas intégré dans la conception de leur architecture informatique les principes essentiels de la cybersécurité.

TV5Monde, Sony, Target, Gemalto, Ashley Madison… les exemples de piratages sont nombreux et chaque jour notre quotidien se numérise un peu plus.

Les cyberattaques impactent tout l’écosystème de l’entreprise.

Ashley Madison, site de rencontres extraconjugales édité par Avid Life Media, vient de subir un piratage massif de sa base de données. Ce sont des informations personnelles concernant plus de 35 millions de clients qui ont été divulguées au grand jour : identités, adresses mails, transactions bancaires.

Les conséquences d’un piratage sur des données stratégiques sont nombreuses. D’un côté pour l’entreprise : espionnage industriel, divulgation d’informations personnelles sur les employés, coûts additionnels pour la gestion de l’attaque, atteinte à l’image de marque… Mais également pour les clients et utilisateurs de la marque, qui confient très souvent plusieurs types de données personnelles, avec parfois même des informations intimes. Le hack de Ashley Madison est sans doute une des meilleures preuves qu’un piratage de données clients d’entreprise peut avoir des effets dévastateurs sur la vie de chacun de ses utilisateurs : à ce jour on compte déjà plusieurs divorces, suicides et tentatives d’extorsions de fonds. Aujourd’hui plus de 35 millions de personnes voient leur appartenance à ce site de rencontres extra conjugales dévoilée au grand jour, et cela bien sûr avec les données personnelles de chacun d’entre eux.

Si un piratage peut affecter directement le chiffre d’affaires de l’entreprise et atteindre durablement sa réputation, il peut aussi avoir un effet direct sur d’autres acteurs. Récemment les autorités américaines ont mis au jour un délit d’initié massif organisé par des pirates ukrainiens et quelques sociétés de gestion qui accédaient de manière non autorisée à des communiqués de presse avant leur diffusion officielle. Ces sociétés de gestion ayant profité de ce piratage pour jouer sur les marchés financiers grâce aux informations obtenues illégalement. Les sociétés impactées directement sont Boeing, HP, Dupont, Netflix, Ford, Bank Of America, Honeywell, Caterpillar, mais tous les acteurs des marchés financiers ont également subi un préjudice.

Plusieurs fuites de données au sein de diverses entreprises ont eu un impact majeur. Fin 2014,  Sony voit la fuite de 100 000 Go de données volées, dont les numéros de sécurité sociale de 6000 employés, des correspondances entre hauts dirigeants du groupe, des films en attente de sortie en salles, et des centaines de serveurs détruits…

Un peu plus tôt dans l’année c’est J.P Morgan qui se faisait dérober 80 millions de données clients (noms, adresses, numéros de téléphone, adresses mail…) ou encore The Home Depot qui laissait s’envoler 56 millions numéros de cartes bancaires…

Personne n’est à l’abri, puisqu’on estime qu’en 2014, 83% des grandes entreprises dans le monde ont été la cible de cyberattaques.

Dans de nombreux domaines nous avons pris l’habitude d’exiger le meilleur en termes de norme de sécurité : alimentaire, santé, industrielle, hygiène, immobilier… Mais pour la sécurité de nos données où en sommes-nous?

L’actualité nous montre encore une fois que les nombreux acteurs du secteur numérique n’ont pas intégré dans la conception de leurs architectures informatiques les principes essentiels de la cybersécurité. Or, comme dans tous les domaines, la sécurité liée à l’informatique nécessite une approche globale autour de l’architecture technique, de la détection des intrusions et de la gestion de crise :

 1. Intégrer la sécurité dans la stratégie de développement : Aujourd’hui trop d’entrepreneurs, chefs d’entreprise, directeurs techniques… définissent leurs socles techniques en fonction de leurs contraintes de développement commercial à court terme au détriment de la sécurité informatique et d’une vision à long terme. Les évènements viennent leur rappeler que dès la conception d’un projet, la sécurité informatique nécessite d’être intégrée comme une brique à part entière de leur stratégie, et ce de manière systématique et continue durant leur développement.

 2. S’équiper d’outils de détection des intrusions efficaces : Face à l’évolution de la menace, force est de constater que les outils de sécurité « classiques » ne sont plus suffisants pour protéger l’entreprise. En effet, même mis à jour, les firewalls, antivirus, et autres IPS (Intrusion Prevention System) sont obsolètes. S’ils parviennent à contrer des attaques de base connues, ils sont en revanche complètement inefficaces face aux attaques dites « avancées »  basées sur des failles ou des techniques non connues.

Il est nécessaire d’implanter au sein des organisations des solutions techniques de nouvelles générations pour détecter les attaques « ciblées » ou APT (Advanced Persistent Threats), notamment les plateformes dites de « Breach Detection System » qui intègrent une prise en compte globale et efficace de tout le spectre de la menace.

 3. Mettre en place une gestion de crise pour les incidents de sécurité : Détecter c’est bien, savoir réagir en conséquence c’est mieux. Les organisations se doivent de mettre en place une véritable gouvernance en réaction aux intrusions informatiques. Il est donc nécessaire de s’y préparer en définissant une cellule de gestion de crise constituée de la direction générale, des responsables de la sécurité informatique, des responsables juridiques et de communication, qui vont animer la défense des intérêts de leurs organisations.

Le cybercrime est devenu un des trois principaux risques majeurs pour les organisations. Une PME sur deux qui subit un piratage met la clé sous la porte.

Il est important de comprendre que tôt ou tard la sécurité informatique aura un impact majeur sur tout l’écosystème de l’entreprise (fournisseurs, clients, salariés, investisseurs).

Le coût mondial lié au cybercrime devrait atteindre les 3000 milliards de dollars en 2020, soit plus que le PIB 2014 de la France. Il est temps aujourd’hui que les décideurs, investisseurs et entrepreneurs pilotent leur cybersécurité comme un enjeu majeur, en intégrant les bonnes pratiques techniques et organisationnelles tout au long de l’évolution de leur entreprise.

Il s’agit là de leur unique recours pour limiter au maximum leur exposition au cybercrime.