Pourtant, comme le démontre simplement le nombre de ces attaques, leurs durées et les coûts engendrés par ces dernières années, les entreprises pourraient faire beaucoup mieux en matière de défense.

Cela ne dépend pas simplement du fait de choisir le bon produit ou la bonne personne pour y faire face, mais les entreprises peuvent néanmoins mettre en place un certain nombre de mesures pour compliquer la tâche des attaquants et renforcer la sécurité de leurs systèmes et de leurs données.

1. C’est le programme de sécurité qui engendre la mise en conformité, et pas l’inverse

De trop nombreuses entreprises restent aujourd'hui concentrées sur le maintien de leurs contrôles de sécurité de base. Elles vérifient les cases à cocher pour respecter la réglementation et passent à autre chose. Pare-feu : « ok ». Surveillance du réseau : « ok ». Segmentation du réseau : devrait être en place, « ok ». La seule chose qui manque est de veiller à ce que chacune de ces fonctions soit mise en place correctement et cohérentes les unes avec les autres.

>> Ces process devraient être inversés : les entreprises doivent construire de vrais programmes de sécurité puis en tirer des rapports pour « alimenter » les efforts requis en termes de mise en conformité.

2. Embaucher et cultiver les bons talents de sécurité

Le véritable défi pour les entreprises est que la technologie et les méthodes d'attaque évoluent à une telle vitesse que leurs programmes d'éducation et de formation classiques ne peuvent pas suivre le rythme.

La formation a ainsi du mal à suivre les évolutions liées à la mobilité, aux architectures de cloud computing, à la virtualisation, à la conteneurisation, à l’Internet des objets (IoT), etc.

Les professionnels de la sécurité qualifiés proviennent souvent de milieux moins conventionnels. Il peut s’agir d’hommes ou de femmes tatoués aux cheveux colorés et disposant d’un parcours académique assez inhabituel ; mais ils savent comment maintenir une défense opérationnelle face aux attaques des cybercriminels. Pourtant, bien souvent on ne pense pas à eux.

>> Cela doit changer, et le gouvernement et les entreprises doivent repenser leur façon de considérer et de rechercher les talents en matière de sécurité. Ils doivent aussi tenir compte des autodidactes, de ceux qui ont une affinité avec ce domaine et qui veulent utiliser leurs compétences.

3. Savoir parler aux dirigeants des entreprises

Aujourd'hui, trop de professionnels de la sécurité pensent et parlent en termes techniques. Par exemple, quand ils font face à une attaque, ils ne voient en elle qu’un problème technique. Et ils ont raison, cela constitue bien entendu un problème technique, qui, dans la plupart des cas, peut être corrigé techniquement.

Mais pour des dirigeants et des managers il s’agit avant tout d’un risque commercial pouvant affecter leur business. Il faut donc que le problème leur soit présenté en ces termes, comme un risque pesant sur le chiffre d’affaire et la réputation de l’entreprise.

Lorsque notre voiture tombe en panne par exemple, nous nous soucions plus de la perte de notre voiture plutôt que de la raison technique de la défaillance. Quand nous posons des questions techniques sur la nature du problème mécanique, ce que nous voulons vraiment savoir, c’est l’impact  que cette panne mécanique va avoir sur la durée d’immobilisation du véhicule et sur le coût de réparation.

>> Pour l’IT, les chefs d'entreprise ne pensent pas différemment : ce qui compte est le risque, quel est le coût pour corriger le problème, le coût de la perte de la disponibilité du service habituellement disponible. Ce sont en ces termes que les responsables de l’IT devraient essayer de s’exprimer.

4. Se focaliser sur la détection des intrusions et la réponse aux incidents

Cette année, entreprises et gouvernements ont investi à juste titre des dizaines de milliards d’euros dans la défense de leurs systèmes pour empêcher les intrusions.

Difficile de savoir si ces dépenses sont insuffisantes ou excessives, ce qui est sûr c’est qu’aucune protection n’est fiable à 100%. Les cyber-criminels continueront à trouver des failles et mêmes les entreprises les mieux armées ne seront jamais complètement à l’abri d’une attaque.

Voilà pourquoi il faut investir d’avantage dans la capacité à détecter et à réagir suite aux intrusions réussies.

>> Planifiez et mettez en place les ressources adéquates pour réagir rapidement. Cela vous permettra de minimiser les dégâts liés à des intrusions réussies et, espérons-le, de réduire également les coûts qu’elles engendrent.

5. Orienter les décisions en fonction des données à protéger

Ce ne sont pas les exemples qui manquent : régulièrement, des entreprises à travers le monde (Ashley Madison, T-Mobile, TV5 Monde…) se font pirater et dérober des millions de documents, telles que leurs bases clients.

>> Analysez les données qui concernent ces piratages : quels moyens ont été employés, quelles ont été les barrières mises en place (s’il y en a eu), pourquoi cela n’a-t-il pas marché, quelles ont été les conséquences, etc.

Menez également une veille sur les vulnérabilités techniques, celles-ci servant de porte d’entrée dans les réseaux. Ces éléments peuvent vous aider à faire des choix plus avisés que celui qui consiste à refaire ce qui a toujours été fait.