Mais en parallèle, en renforçant les situations de télétravail du jour au lendemain, la pandémie a également mis les RSSI face à un challenge nouveau qui nécessite un certain nombre d’investissements pour sécuriser les systèmes d’information. Une étude internationale de Thycotic souligne d’ailleurs que 56% des entreprises prévoient d’augmenter leur budget en matière de cybersécurité. Mais un autre sondage d’Infopro Digital Etudes soutient qu’à cause de la crise sanitaire, le pourcentage du budget total consacré à la cybersécurité en entreprise est bien inférieur à celui alloué à la transformation numérique, alors même que les cyberattaques se multiplient. Comment dès lors arbitrer son budget cybersécurité ?
La Covid-19 a été un vecteur de cyber-attaques sans précédent. Le nombre d’attaques de phishing a explosé jusqu’à atteindre 72% des intrusions liées au coronavirus. Pourquoi ? Tout simplement car les hackers ont surinvesti cette thématique, commune à l’ensemble de la population et des entreprises.
De plus, si les entreprises ont su rendre possible le télétravail en un temps record du point de vue de la mise à disposition d’outils collaboratifs, elles ont parfois négligé la sécurité des accès. Les usages ont changé du jour au lendemain, et nombre d’utilisateurs se sont connectés depuis des environnements moins sécurisés ou des ordinateurs personnels qui ne sont pas maîtrisés par les DSI, facilitant d’autant plus le travail des hackers.
Enfin, ne pas sécuriser convenablement son système d’information peut exposer à des amendes pour non-conformité. Dans le cas d’attaques importantes, pour que les assurances prennent en charge les dégâts, il faut pouvoir justifier que la question de la cybersécurité avait bien été prise en compte.
La crise de Covid-19 en est une preuve : le risque de cyber-attaques ne cesse d’augmenter. Parfois plus vite que les budgets de cybersécurité… Même si la menace n’est pas visible, elle est réelle et il est nécessaire d’investir en amont pour limiter la casse en cas d’intrusion au sein du SI de l’entreprise. Voyons comment ajuster le rapport coût du risque vs coût de l’investissement.
Budget cybersécurité : les principaux points d’attention :
L’email est le premier vecteur d’infection en entreprise. Et il faut souligner que le contexte du Covid-19 a accentué la vulnérabilité des individus. Ils ont trois fois plus de chance de se faire piéger par une attaque de phishing qu’auparavant. Il est donc essentiel de protéger les messageries d’entreprises avec une couche de sécurité pour limiter les vecteurs d’infection via e-mail, comme phishing combiné à des malwares par exemple. Par exemple, la mise en place de mécanisme comme la norme DMARC (Domain-based Message Authentication, Reporting, and Conformance) permet de renforcer le protocole mail SMTP, évitant l’usurpation de votre domaine pour envoyer des e-mails.
Dans le jargon DSI, on parle de « Security Awareness and Training », car l’humain reste la faille principale en matière de cybersécurité. Il convient donc de former les équipes aux bonnes pratiques, de les sensibiliser aux risques d’attaques… Il existe des outils pour cela, qui peuvent aller jusqu’à envoyer de fausses campagnes de phishing pour tester la réaction des utilisateurs. Ces solutions sont actuellement en plein développement au sein des entreprises. A raison, car le retour sur investissement est particulièrement intéressant. En effet, une entreprise dépassant des sommes faramineuses en cybersécurité, sans pour autant former ses utilisateurs, sera plus susceptible de se faire attaquer en comparaison à une entreprise commençant par former sa population aux bonnes pratiques élémentaires.
Le travail à domicile et les accès distants à des applications SaaS rendent le risque d’usurpation d’identité plus sensible. Dans ce contexte, il s’agit surtout de renforcer la sécurité, non pas du système d’information de l’entreprise, mais des accès utilisateurs à ce dernier. Bien manager les comptes, effectuer des mises à jour régulières, s’équiper de systèmes d’authentification multi-facteurs… une partie du budget doit être orientée « Identity and Access Management ».
Antivirus, pare-feux, sondes de détection d’intrusion, analyse de trafic réseau… Cela reste les fondations d’une infrastructure de protection contre les cyberattaques. C’est un domaine qui évolue rapidement, pour preuve les nombreuses technologies s’appuyant sur de l’intelligence artificielle pour la détection d’attaques, Network Detection & Response (NDR) par exemple, ou encore les nombreuses solutions d’automatisation, assurant une réactivité sans précédente par rapport aux tâches récurrentes devant être effectuées par les équipes de cybersécurité. Autre évolution depuis quelques années, les technologies EDR (Endpoint Detection & Response), permettent de révolutionner l’antivirus traditionnel sur bien des aspects.
Dans le cadre de leur transformation digitale, de plus en plus d’entreprises se tournent vers des applications métier qui hébergent les données sur le Cloud. Pour garder le contrôle des informations, il faut s’assurer que les accès au Cloud sont bien sécurisés, et avoir une bonne visibilité sur ce qu’il s’y passe. Les solutions de type « Cloud Access Sécurity Broker » (CASB) permettent de gérer les risques liés aux services Cloud, d’appliquer des stratégies de sécurité et de se mettre en conformité avec les réglementations en vigueur. Le chiffrement des données hébergées dans le cloud peut aussi être une garantie de protection en cas d’attaque.
Chaque entreprise doit adapter son budget en fonction de son contexte, de sa structure, de son activité, de ses besoins métiers et des usages de ses collaborateurs. Une bonne sensibilisation de vos utilisateurs, en complément d’une sécurité périmétrique incluant la protection des postes de travail (EDR) restent des basiques. Ensuite, les RSSI vont pouvoir allouer le budget affecté à la cybersécurité restant en fonction de la stratégie globale de SI. Les investissements en matière de sécurité informatique ne sont pas vains, car en plus de protéger le présent, ils préparent l’avenir. Le déploiement de la 5G, la multiplication des objets connectés, et la transformation des usages qu’ils induisent, sont les challenges de demain pour les entreprises. Des défis qu’il convient d’anticiper dès aujourd’hui !