- Selon le rapport d’IBM et du Ponemon Institute datant de 2023, le coût moyen mondial d’une violation de données a atteint le chiffre astronomique de 4,45 millions de dollars, soit une augmentation de 2 % par rapport à l’année précédente.
- Ces informations peuvent susciter des inquiétudes chez tout dirigeant d’entreprise. Le rapport prend en compte de nombreux facteurs, notamment l’atteinte à la réputation, la perte de clientèle et la baisse de productivité.
- Selon NI Emerson, Il ne fait aucun doute que les violations informatiques ne concernent pas uniquement les directeurs des systèmes informatiques et leurs responsables de la sécurité ; elles affectent en effet l’ensemble de l’organisation.
- Néanmoins, les progrès vers une intégration de l’informatique dans les autres services afin de développer une approche holistique de la cybersécurité ont été extrêmement lents.
Auteur : Steve Summers, responsable des offres et de la sécurité pour les secteurs aérospatial, défense et gouvernement chez NI Emerson
L’attaque Stuxnet contre le programme nucléaire iranien, perpétrée entre 2005 et 2010, est l’un des premiers exemples illustrant les dommages que les cyberattaques peuvent infliger à une entreprise. Le ver Stuxnet était conçu pour cibler les automates programmables contrôlant divers processus industriels. Dans ce cas précis, il a infecté les automates qui contrôlaient les centrifugeuses utilisées dans les réacteurs nucléaires, provoquant leur dysfonctionnement. Selon certaines sources, cela a eu un tel impact sur l’Iran qu’environ 20 % des centrifugeuses du pays ont été rendues inutilisables.
Stuxnet a changé la donne pour les professionnels de la sécurité informatique. Il a mis en évidence la vulnérabilité des organisations et la nécessité de ne pas considérer l’infrastructure informatique de manière isolée. Bien qu’il ait été perçu comme une attaque visant spécifiquement l’Iran, et par beaucoup comme une attaque coordonnée par des forces de sécurité externes, il a démontré le potentiel destructeur des logiciels malveillants dans un environnement de technologie opérationnelle (et plus seulement dans un environnement informatique). Ce n’est pas seulement l’industrie nucléaire qui est menacée ni l’Iran d’ailleurs. Les experts en sécurité de Norton estiment que 2 200 cyberattaques ont lieu chaque jour. Cela représente environ 800 000 personnes piratées chaque année. Les États-Unis eux-mêmes n’ont clairement pas été épargnés. L’exemple le plus célèbre d’attaque à grande échelle sur le sol américain est l’attaque de SolarWinds en 2020. Lors de l’une des plus grandes violations de cybersécurité du XXIe siècle, des hackers ont introduit un code malveillant dans le système de surveillance et de gestion informatique Orion de SolarWind, sur lequel s’appuyaient des milliers d’entreprises et de gouvernements à travers le monde. Cet incident a révélé un grand nombre de vulnérabilités aux États-Unis (et dans la plupart des pays occidentaux). Les cadres supérieurs ont été confrontés à la réalité : leurs systèmes étaient exposés à tout type d’attaque coordonnée, en particulier lorsque les attaquants disposent des ressources d’un État, comme cela semble être le cas avec l’attaque de SolarWinds.
Avec des ennemis potentiels sur tous les fronts, la sécurité des données devient rapidement une opération de type militaire. Il n’est donc pas surprenant que le département de la Défense des États-Unis ait pris l’initiative d’élaborer une nouvelle approche interorganisationnelle rigoureuse en matière de cybersécurité.
Approche de cybersécurité militaire
Les institutions militaires sont depuis longtemps une cible privilégiée des cyberattaques. Déjà habitué à déjouer d’autres violations de sécurité, le département de la Défense des États-Unis a pris conscience de la nécessité de renforcer la protection des données dans ses bases militaires. En janvier 2020, le département a pris une nouvelle initiative qui concerne non seulement les établissements gouvernementaux, mais également tous les sous-traitants de la chaîne d’approvisionnement. La CMMC (Cybersecurity Maturity Model Certification) est basée sur le principe du Zero Trust. Il s’agit d’un processus dans lequel toutes les parties d’une organisation et toutes leurs interactions sont validées à chaque étape. La règle d’or ? Ne faire confiance en rien ni en personne.
La certification CMMC oblige toute entreprise souhaitant vendre ses produits ou services à une agence gouvernementale américaine à se conformer à un cadre et à un processus de certification rigoureux, dans lesquels chaque composant et ses relations avec les autres composants sont validés à chaque étape de l’assemblage et de l’utilisation. L’adoption de cette approche est désormais obligatoire pour toute entreprise souhaitant devenir fournisseur du département de la Défense. Sans autorisation d’opérer (Authority to Operate, ATO), aucune entreprise ne peut avoir de relations commerciales avec une agence gouvernementale américaine.
Approche de cybersécurité globale
L’approche Zero Trust est tout aussi applicable, et de plus en plus nécessaire, en dehors du secteur de la défense. Néanmoins, elle implique des investissements importants et un changement culturel majeur, avec une collaboration étroite entre les ingénieurs et les équipes informatiques et de test.
Cette perspective peut sembler angoissante, mais la cybersécurité ne concerne plus uniquement le domaine informatique. Il existe tout un nouvel univers d’appareils connectés aux réseaux IP, sans parler d’autres installations qui peuvent être vulnérables, comme les systèmes de climatisation. Vous vous souvenez de Target ? Un logiciel malveillant chargé par inadvertance par un petit entrepreneur du secteur des systèmes de conditionnement d’air et de climatisation a été utilisé pour voler les données financières des clients et les transférer à des pirates informatiques en Europe de l’Est. Le coût de cette violation pour le détaillant a été estimé à 202 millions de dollars. En fin de compte, plus rien n’est sûr. Il existe désormais un risque d’intrusion criminelle partout dans une entreprise. Malheureusement, la mise en œuvre d’une cybersécurité exemplaire au sein d’une organisation ne suffit pas à contrer les menaces. Comme le montre clairement l’exemple de Target, il est nécessaire d’étendre les stratégies de cybersécurité aux sous-traitants externes. Ceux-ci doivent également faire l’objet d’une surveillance étroite afin de garantir leur conformité et de s’assurer qu’ils protègent rigoureusement toutes les informations sensibles.
Il est par exemple essentiel que le service informatique participe aux phases de test afin de s’assurer que les sous-traitants intègrent la cybersécurité dans les puces, les composants et les systèmes électroniques, et ce, dès le départ. NI est actuellement l’un des fournisseurs à avoir compris qu’il était essentiel que les solutions de test soient conformes à la norme CMMC et à avoir réalisé les investissements nécessaires en amont du déploiement. Plus les entreprises hors du secteur de la défense adopteront l’approche Zero Trust, plus les acteurs de la chaîne d’approvisionnement seront encouragés à investir dans des pratiques commerciales cybersécurisées.
Avenir cybersécurisé
Les risques relatifs aux cyberattaques ne vont pas disparaître. En 2023, le nombre annuel de violations de sécurité dans les entreprises a augmenté de 27,4 %. Le coût mondial de la cybercriminalité est actuellement estimé à 6 000 milliards de dollars par an, et devrait atteindre 10 500 milliards de dollars par an d’ici 2025. Il est donc essentiel que chaque entreprise investisse dans le développement d’une approche plus robuste et plus complète de la cybersécurité. Le coût de la mise en œuvre, bien que significatif, n’est rien en comparaison de celui d’une violation de données, non seulement en termes de pertes financières, mais aussi de perte d’activité et de réputation.
Le modèle Zero Trust de la CMMC fournit un cadre fiable sur lequel s’appuyer, mais il est encore en cours d’élaboration. De nouveaux défis apparaissent sans cesse, notamment avec l’essor du télétravail et l’utilisation croissante du stockage dans le cloud. Dans le nouveau monde du Zero Trust, la lutte contre les hackers implique l’ensemble de la chaîne d’approvisionnement ; les ingénieurs, les équipes de test, les professionnels de l’informatique et les fournisseurs de tests doivent tous être connectés pour garantir la cybersécurité.
