Cybersécurité : comment mesurer l’exposition d’une organisation aux risques cyber
Mesurer l’exposition d’une organisation aux risques cyber : contexte //
En 2021, 54% des PME ont fait l’objet d’une cyberattaque (CESIN). Ce chiffre n’est pas sans conséquence lorsque l’on sait que 60% des TPE et PME touchées font faillite si l’incident n’est pas résolu rapidement (Sénat – La cybersécurité des entreprises – Juin 2021). Par ailleurs, nos experts cybersécurité font un second constat alarmant : en 2023, il est malheureusement extrêmement simple et rentable d’attaquer la sécurité des organisations.
En effet, dans un contexte de digitalisation accrue, les cyberattaques se multiplient et deviennent un risque majeur aux conséquences lourdes : arrêt d’activité, vol de données sensibles, impact réputationnel…
Forte de ce constat, Apside a été mobilisée pour cocréer pour Siparex XAnge, en partenariat avec Dattak, une solution permettant de mesurer l’exposition aux risques cybersécurité.
Risques liés à l’exposition d’une organisation aux cyberattaques //
70% des PME victimes d’une cyberattaque déposent le bilan dans les trois ans. Le bilan est d’autant plus préoccupant alors que selon l’AMRAE, 84% des grandes entreprises sont assurées contre seulement 9% des ETI et 0,2% des PME et TPE. Mais de manière très pragmatique, quels sont les risques réels de ces cyberattaques ?
Un cyberattaquant est guidé par un objectif principal : porter atteinte à une organisation. Cet assaut peut se manifester de plusieurs façons : il peut être d’ordre financier, en bloquant par exemple les systèmes d’information et activités et en demandant une rançon ; il peut être d’ordre réputationnel, en divulguant des informations sensibles pour l’image de l’entreprise ; ou encore il peut être d’ordre industriel et économique, en volant les données structurantes pour l’organisation et en les revendant à la concurrence.
Menaces identifiées pour les organisations //
Toutefois, le risque central que notre cellule d’expertise identifie est surtout que désormais, il devient très accessible pour tout un chacun d’attaquer les organisations. En effet, 96% des attaques commencent par un simple mail (Proofpoint), et 94% des logiciels malveillants sont délivrés par e-mail (Data Breach). De plus, selon Hiscox, le coût médian d’une cyberattaque s’élève à 51 200€.
A plus forte raison, il devient donc capital pour les organisations de sécuriser leurs outils les plus accessibles (notamment les logiciels de messagerie) et de mettre en place une stratégie de sécurisation de leurs systèmes d’information.
Pour amorcer cette démarche, l’outil Plan d’Attaque permet de mesurer l’exposition aux risques et de disposer d’un plan d’action personnalisé et priorisé.
Plan d’Attaque – le diagnostic Cyber : promesses de l’outil //
Plan d’Attaque est une solution gratuite sous forme d’un questionnaire composé d’une quarantaine de questions (~20min). A la suite de ce questionnaire, les utilisateurs reçoivent immédiatement par mail un score de maturité, entre 0 et 100, qui permet de rendre compte de l’état général de sécurité de l’organisation, ainsi qu’un plan d’action personnalisé et priorisé.
Le questionnaire est découpé en plusieurs grandes thématiques qui permettent d’auditer de manière globale l’exposition de l’entreprise. Les thématiques sont les suivantes :
- Périmètre ;
- Organisation de la sécurité ;
- Authentification du contrôle d’accès ;
- Sécurisation des postes de travail ;
- Sécurisation des réseaux et infrastructures ;
- Sécurisation de l’administration ;
- Sauvegarde et restauration ;
- Sensibilisation et formation des collaborateurs ;
- Nomadisme.
De manière très concrète, l’outil efficient offre en très peu de temps une liste de quick wins pour augmenter la protection des organisations. Il est imaginé pour mettre en exergue les axes de travail les plus importants ainsi que les plus grandes faiblesses et pour proposer des solutions faciles à mettre en œuvre pour augmenter très rapidement le degré de sécurité de l’entreprise.
Plan d’Attaque : conception de l’outil de diagnostic cyber //
L’expertise Unit Apside Cyber est composée de 40 experts qui s’engagent et se donnent pour objectif de protéger les PME et les ETI. Pour répondre aux enjeux structurants de ce projet, ce sont 6 experts qui ont été mobilisés pour participer à la conception du questionnaire, à la définition des questions et à la recette de la solution notamment lors des 7 sessions d’ateliers organisées. Parmi ces spécialistes, nous pouvions compter Patrick, notre CTO Cybersécurité et Innovation, Thomas, notre manager services managés, Inès, notre manager gouvernance risques et conformité, Jérémie, notre manager cybersécurité opérationnelle et AMOA, Rémi, notre manager cybersécurité industrielle et cryptologie et Mohamed, notre manager audit technique et réponse à incident.
Après un audit des solutions existantes sur le marché, l’équipe a effectué une veille approfondie grâce aux référentiels certifiés comme celui de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ou celui du NIST (National Institut of Standard Technologies). Ces deux référentiels reconnus (français et américains) contiennent les normes de cybersécurité ainsi que les méthodologies à implémenter pour garantir la sécurité des entreprises. Au terme de cette étude, l’équipe a extrait toutes les bonnes pratiques et a amorcé une phase de brainstorming.
Cette étape a permis aux experts de définir les thématiques nécessaires pour mesurer de manière exhaustive l’exposition des organisations aux risques cyber et ainsi déterminer les questions les plus adaptées.
Une fois les thématiques et questions définies, l’équipe Cyber a pu formaliser le questionnaire et effectuer la recette de ce dernier avant diffusion. Pour ce faire, les équipes se sont chargées d’éprouver le questionnaire face à des profils d’organisation divers dans le but d’évaluer la pertinence de l’ensemble des questions pour chaque cible adressée. Il aura notamment été appliqué à certains clients et les résultats du questionnaire se sont avérés conformes à ceux de l’audit cybersécurité préalablement réalisé.
Plan d’Attaque : interprétation des résultats //
La promesse de l’outil est notamment d’offrir immédiatement à l’utilisateur une vue sur son score de maturité ainsi qu’un plan d’action personnalisé et priorisé. Pour répondre à cette dernière, il a donc été nécessaire d’élaborer précisément une liste de recommandations adaptées pour augmenter le score de maturité de l’entreprise auditée.
Les niveaux de criticité ne sont pas définis selon un barème unique : en effet, ils sont plutôt conçus en fonction de la taille de l’organisation ciblée, de ses activités, de son écosystème et de l’ampleur de son système d’information.
Ce plan d’action contient une liste de recommandations (aisément identifiables grâce à un code couleur) triées par ordre de priorité en fonction du coût de mise en œuvre et du rapport de protection. Ainsi, les top recommandations n’étaient pas nécessairement les plus coûteuses et complexes, mais bien celles qui permettraient à l’organisation d’être bien plus protégée le plus rapidement possible. Toutefois, des directives plus sophistiquées sont également abordées bien que pas nécessairement prioritaires.
A titre d’exemple, parmi les recommandations, nous pouvons notamment compter :
- Des solutions avancées pour sécuriser la messagerie contre les spams et hameçonnage mais également à la bonne configuration des enregistrements pour protéger l’entreprise ( SPF, DKIM et DMARC) ;
- Des directives concernant la mise en place de pare-feux (classiques ou UTM) et la segmentation des réseaux ;
- Des consignes afin de réaliser des tests de pénétration (évaluation, procédure, livrables…).
Accompagnement de l’EU Apside Cyber //
Enfin, il est évident que bien que les recommandations soient applicables directement par les organisations, l’Expertise Unit Cyber se montre à disposition pour répondre aux enjeux stratégiques des structures avec un accompagnement riche allant de l’évaluation du niveau de sécurité (analyse de risque et homologation dans le respect des méthodologies du client) à la réponse à incident avec une analyse complète (identification des solutions permettant la visibilité des menaces et protection complète des données et infrastructures). Vous souhaitez l’avis de nos experts ? Contactez-les via cette adresse : [email protected]