Cybersécurité : les clés pour limiter vos risques...

Retour
21 Avril 2022

La cybersécurité est l’un des défis majeurs auxquels sont confrontées les entreprises, quelle que soit leur taille. Les conséquences d’une cyberattaque sur une entreprise peuvent être particulièrement lourdes : arrêt de l’activité, litiges, atteintes à l’image, perte de confiance avec les clients… De plus, les attaques ne cessent de progresser en n ombre et en gravité et sont de plus en plus sophistiquées. Dès lors, les prestataires informatiques doivent faire preuve d’une solide expertise en cybersécurité et mettre en place des procédures robustes chez leurs clients.

En revanche, 2022 sera peut-être l’année où des outils issus de l’industrie et des grandes sociétés deviennent accessibles à nos clients TPE/PME/ETI.

En effet, vos clients devront assumer un niveau de cybersécurité supérieur aux fins de :

Pouvoir s’assurer ;

Prouver leur bonne foi en cas d’incident (RGPD) ;

Alléger la responsabilité de leur dirigeant.

 

Il est en ce sens urgent de renforcer ses outils pour proposer à nos clients ces solutions robustes. Le groupe de travail « cybersécurité » de la Fédération vous propose de faire le point sur les principales mesures pour renforcer la cybersécurité des entreprises.

Passer des antivirus classiques à de vrais EDR (Endpoint Detection & Response)

Les attaques deviennent de plus en plus sophistiquées, la menace évolue et les antivirus classiques ne suffisent plus. L’EDR est un ensemble d’outils de sécurité capables de détecter des activités suspectes sur les postes de travail, les ordinateurs portables et autres appareils mobiles d’une organisation. Ces solutions sont également capables de réagir en cas d’incident, notamment via la mise en quarantaine du poste, blocage, suppression de fichier téléchargé, etc.

Les EDR sont fondés sur des algorithmes d’apprentissage automatique, ce qui leur permet d’être auto-apprenants et donc d’évoluer. Les grands éditeurs commencent à rendre disponible leurs solutions, incluant une plateforme de réponse à incident – c’est un aspect fondamental – car un EDR non supervisé ne sert pas à grand-chose, à moins d’avoir fait au préalable une longue campagne de paramétrage listant très précisément ce qui est autorisé ou d’utiliser des outils spécifiquement conçus pour être autonome comme Stormshield SES Evo. Ce sont des solutions techniquement très performantes, mais souvent chères à la mise en place bloquant l’accès à la majorité des clients.

Selon une étude de 2020 du Gartner, d’ici 2025, 50 % des entreprises utiliseront des services xDR.

Systématiser le DPI (Deep Packet Inspection ou inspection profonde des paquets) dans les firewalls – trop rarement le cas

Le DPI est une méthode d’analyse des données qui permet de détecter, d’identifier et d’isoler tout malware ou autre trafic indésirable. Vendre le meilleure firewall pour juste ouvrir ou fermer 2 ports n’est pas une solution des plus optimisées (Windows ou une box d’opérateur grand public étant en mesure de faire cela nativement).

A titre d’exemple, les failles massives sur MS Exchange en 2021 pouvaient être rapidement bloquées par la majorité des firewalls de qualité. MAIS à la seule condition d’activer le DPI sur le trafic entrant.

Tous les produits Pro type StormShield, Fortinet, Sonicwall, Watchguard, Checkpoint, PaloAlto… sont en mesure de faire cela.

En revanche, il est préférable de pas se tourner vers PFSense ou tout autre produit basé sur de l’OpenSource, car vous ne pourrez pas appliquer les analyses d’attaque sur du trafic chiffré dans leur installation par défaut.

Mettre en avant l’intérêt de l’externalisation des sauvegardes, des données mais aussi des éléments les plus critiques du SI

Certaines machines virtuelles critiques doivent être sauvegardées, voire répliquées. Pensée à cet effet, il paraît essentiel de rappeler ici la règle dite  du « 3 – 2 – 1 » : 3 copies des données doivent être effectuées au total, parmi lesquelles 2 doivent être stockées sur des supports différents, et enfin l’une d’elles doit être conservée « hors site ».

Proposer la mise en place de solution de gestion de mots de passe (notamment web et applicatif)

La sécurisation de ses mots de passe est le socle de la cybersécurité. Essentiel et basique, ce point a parfois tendance à être oublié ou négligé.

Des outils comme LastPass, VaultWarden, OnePassword, Keepass sont désormais accessibles financièrement, peuvent pour certaines être installées en local pour un meilleur niveau de confiance, et ces solutions ont désormais des fonctions compatibles avec une gestion d’entreprise : utilisateurs, groupes, droits, hiérarchie…

Travailler lourdement sur la gestion des identités

La gestion des identités est l’ensemble des processus mis en œuvre par une entité pour la gestion de ses utilisateurs à son système d’information ou à ses applications.

Renforcer cet élément peut tout autant consister en des mesures techniques (authentification forte par certificat et/ou MFA double authentification), mais aussi par des mesures d’hygiène et de bonnes pratiques : par exemple la mise en place de procédures de changement régulier des mots de passe, sur les intégrations et départs de salariés, de prestataires…

Il est également possible de se diriger vers les clés Yubikey, qui permettent simplement d’emmener nos clients vers PasswordLess (authentification sans mot de passe) notamment pour les accès au SI : VPN, MS365, sessions Windows, etc.

Envisager les pentesting en interne ou via des entreprises

Le pentesting (ou test d’intrusion) permet d’évaluer un système d’information ou un réseau informatique en simulant l’attaque d’un utilisateur mal intentionné ou d’un logiciel malveillant. Le « pentester » (consultant qui simule l’attaque) examine le système, analyse les risques, les failles et les vulnérabilités.

Le Pen Testing as a Service (PTaaS) existe également, se distinguant par le fait que le soutls de test d’intrusion sont réalisés en mode Software as a Service (accès sur serveur distant), permettant d’automatiser les tests, de visualiser les données en temps réel et de disposer d’informations avant, pendant et après le pentest.

Connaître le régime juridique auquel vous êtes soumis

Les pratiques contractuelles de nombreuses entreprises spécialisées dans le fourniture de solutions informatiques font souvent état de négligence en matière d’obligation d’information. Or, les contrats informatiques, par leur objet et leur technicité, font l’objet d’une obligation d’information renforcée dont l’étendue ne dépend plus du niveau d’expertise du client.

Initialement, l’obligation d’information est érigée à l’article 1112-1 du code civil en disposition d’ordre public. Il est précise que les parties à un contrat informatique se doivent de communiquer l’information dont « l’importance est déterminante pour le consentement de l’autre ».  En conséquence, les parties doivent transmettre à l’autre tout information ayant un lien « direct et nécessaire » avec le contrat et être en mesure d’en justifier. Le manquement à ce devoir d’information peut être sanctionné par la nullité du contrat, mais également engager la responsabilité de celui qui était tenu de délivrer cette information.

Cependant, cette obligation prend une ampleur accrue dans quelques rares domaines en raison de la technicité des produits proposés et du manque d’information des utilisateurs communs dans ce domaine, parmi lesquels le domaine informatique.

Ainsi, la jurisprudence impose au prestataire informatique un quadruple devoir de recommandation (sur les caractéristiques, conditions d’utilisation, capacités, performances, contraintes… du bien ou du service fourni), de conseil (orienter les choix du client vers la solution la plus adéquate à ses besoins et adapté à la situation), de mise en garde et d’alerte (éléments connus devant être maîtrisés par le client, risques, problèmes, contraintes, limites, etc) à l’égard de son client. Ceux-ci sont appréciés à la date de conclusion du contrat.

Face à des obligations aussi lourdes à votre charge, il est également vivement recommandé de vérifier que votre contrat d’assurance responsabilité civile professionnelle offre une couverture suffisante pour l’obligation de conseil renforcée.

Le client n’est pas en reste puisqu’iul doit de son côté agir de bonne foi et communiquer l’ensemble des documents et informations raisonnablement nécessaires à la réalisation des prestations en vertu de son obligation générale de collaboration.

En conséquence, il est impératif pour les parties à un contrat informatique d’accorder un soin tout particulier à la rédaction de leurs cahiers des charges, de leurs propositions commerciales et leurs contrats informatiques, afin de s’assurer de leur efficacité.

De même, la souscription à un contrat d’assurance spécifique aux cyber-risques peut s’avérer primordiale pour les plus exposés d’entre vous, car ces enjeux sont généralement exclus des contrats classiques de responsabilité professionnelle.

Vous former à ces sujets et monter en compétence

L’appropriation de l’ensemble de ces éléments techniques que l’on regroupe dans le sujet de la cybersécurité est enfin le dernier conseil que nous pouvons vous prodiguer.

Dans cette démarche, l’ensemble des acteurs, notamment les constructeurs ou grossistes spécialisés, peuvent et doivent vous aider. Autre solution à ne pas négliger pour celles et ceux qui sont membres de groupements : vos pairs !

Enfin, la structure fédérative, par son essence même d’échange et de collaboration, est un excellent lieu pour apprendre à apprivoiser de tels sujets, quel que soit votre niveau de connaissances de base.

Activer ces nouveaux ressorts techniques, c’est tout autant améliorer l’état de protection de nos clients, et des infrastructures de notre pays, mais c’est aussi un relais de croissance fondé sur du service, de la valeur ajoutée et de la confiance. Selon Guillaume Poupard, DG de l’ANSSI, 10 % du budget informatique d’une entreprise devrait être consacré à la Cybersécurité. Les chiffres sont autour de 5 % actuellement.

Nous aurions tort de laisser passer cette opportunité.

Dossier rédigé par le groupe de travail cybersécurité de la Fédération

Sur le même sujet : 

• Confiance, qualité, expertise : le label ExpertCyber

Pour toute question, n’hésitez pas à nous contacter en cliquant ci-dessous :

Nous contacter