France : Dans le collimateur des pirates informatiques soutenus par l'État
Le 23 mars 2023 • The Westin Paris - Vendôme (Paris)
Les attaques des États sont plus dangereuses que jamais. Pour les vaincre, la cybersécurité doit changer - et cela n'a rien à voir avec la technologie.
Du secrétisme à la transparence : comment la cybersécurité doit évoluer
Selon une étude récente, 75 % des participants français estiment avoir été la cible d'une cyberattaque menée par une organisation agissant pour le compte d'un État-nation et 82 % pensent que les États-nations passent par des groupes cybercriminels pour mener à bien leurs cybercampagnes. Ils pensent que le principal objectif de ces attaques est le sabotage ou la perturbation des opérations de leurs organisations, mais près de la moitié d'entre eux ont également vu des attaques visant des données personnelles et la propriété intellectuelle, des données financières et des données relatives aux opérations de processus d'affaires.
A la question sur les facteurs qui les rendent particulièrement vulnérables aux acteurs étatiques, les répondants français ont identifié le manque de collaboration entre leur secteur et leur gouvernement national (37 %), le manque de cyber-hygiène au sein de leurs organisations (36 %), l'utilisation de technologies de sécurité obsolètes (34 %) et la pénurie de cyber-talents (34 %).
Le fait que les RSSI considèrent la collaboration avec le gouvernement comme un maillon faible de la chaîne de sécurité est intéressant. La France, comme d'autres pays, a institutionnalisé la cyberdéfense au niveau de l'État et il existe une interaction entre les secteurs public et privé. Ce qui est plus intéressant, c'est ce que les RSSI n'ont pas dit : le véritable problème de la cybersécurité aujourd'hui réside dans la divulgation, le partage des données et la collaboration entre les entreprises elles-mêmes.
Les organisations sont toujours extrêmement réticentes à divulguer les attaques et les violations ; beaucoup refusent de parler, même en termes généraux, de la manière dont elles mettent en œuvre la cybersécurité, croyant que cela leur "met une cible dans le dos" (alors que les attaquants connaissent toute leur pile de sécurité en quelques minutes de reconnaissance et que tout le monde est déjà une cible).
Les personnes interrogées en France dans cette étude étaient les plus réticentes à partager des informations sur les données affectées, la durée pendant laquelle leur organisation a été exposée ou le coût financier de l'incident. Ils ne sont pas les seuls - d'autres pays ne sont pas loin derrière.
Mais ce manque de transparence est le problème central de la cybersécurité aujourd'hui : sans partage des données, les organisations ne peuvent pas tirer de leçons de leurs expériences collectives ; sans données précises sur les attaques, les vecteurs d'attaque et l'impact matériel, il est impossible de construire des modèles quantitatifs pour évaluer le cyber-risque et affecter précisément des ressources à ce risque; sans ces données, la conception et la tarification de la cyberassurance ne sont qu'un jeu de devinettes.
À la question de savoir si les gouvernements nationaux devraient faire davantage pour aider les entreprises à se défendre contre les cyber-attaques des États, notamment en leur fournissant des informations en temps réel sur les menaces, 89 % des répondants britanniques, allemands et français sont d'accord. Mais seuls 64 % des Français ont déclaré qu'ils avaient pris ou allaient prendre contact avec le gouvernement de manière proactive.
Alors, comment amener les organisations à mieux collaborer ? Comment les entreprises peuvent-elles trouver un moyen de partager des données de manière anonyme mais suffisamment détaillée pour être utiles au bien collectif ? Et si les entreprises ne partagent pas volontairement leurs données, alors, compte tenu de l'augmentation des attaques des États-nations, une certaine forme de collaboration public-privé devra-t-elle être imposée simplement pour la défense de la nation ?
