Multiplication des challenges, le rôle du CISO évolue
Sécuriser, tout sécuriser ? Impossible selon Didier Guyomarc’h, South EMEA Regional Director, Zscaler. Trop de variables.
Trop d’informations ! Un vrai défi pour le CISO, du fait que nous consignons tout. Pour détecter une menace et y répondre, il faut savoir ce que nous recherchons. Les systèmes autonomes et les solutions ad hoc viennent aggraver la situation. Résultat : on cherche la même aiguille dans une plus grosse botte de foin ! «Le CISO a besoin d’indicateurs de compromission et d’informations sur les menaces fiables pour trouver l’aiguille dans cette botte de foin toujours plus grosse.»
Aujourd’hui, aussi, les attaques sont dramatisées, souvent attribuées à des campagnes sophistiquées dirigées par un État. Cet argument est un moyen d’apaiser les gens, l’idée étant que la complexité de l’attaque est telle qu’aucune entreprise ne peut se défendre. Et Didier Guyomarc’h de commenter : «Nous devons réfléchir aux techniques, procédures et outils mis en œuvre, mais dans un monde de dissimulation et d’anonymisation, pouvons-nous être sûrs de l’identité de notre attaquant ?»
Autre évolution : la rapidité. Le GDRP illustre bien cette tendance. Les entreprises n’auront que 72 heures pour signaler une violation, elles doivent donc mieux maîtriser leurs flux de données et avoir une vue plus complète des menaces auxquelles elles sont exposées. «Une réglementation si stricte va très certainement obliger les entreprises à mettre en œuvre des plans structurés de réponse aux cyberattaques en vue de reproduire les attaques, de comprendre les responsabilités et de transmettre les informations rapidement et avec précision.»
Nouveau challenge, le ransomware. La question qui se pose pour les entreprises est la suivante : faut-il payer ou non la rançon ? Le coût pour les entreprises peut être élevé, même si par rapport aux coûts de la perte de données, elles sont prêtes à payer le prix. «Le CISO pourrait se poser en champion de la morale et prétendre que le paiement favorise l’extorsion, mais en fin de compte, les interruptions de service sont coûteuses. Le CISO commence à être confrontés au ransomware 2.0, cette évolution logique consistant à cibler la multitude de machines ou objets connectés que nous appelons l’Internet des objets.»
C’est que la définition de l’«ordinateur» évolue, devenant chaque jour plus opaque. Ce qui veut dire, encore, qu’il est devenu nécessaire de sécuriser toutes les ressources connectées de l’entreprise. «Cela étant dit, si nous n’apportons pas une garantie quant à la sécurité de tous les appareils qu’il nous incombe de contrôler, sommes-nous négligents si ces appareils commencent à attaquer d’autres machines, questionne Didier Guyomarc’h. Auparavant, la sécurité visait à protéger la confidentialité, l’intégrité et la disponibilité de nos données, qu’en est-il aujourd’hui ? Le RSSI doit-il désormais se préoccuper de la protection de l’infrastructure Internet critique ? Si tel est le cas, il faut alors totalement repenser notre approche de la cybersécurité.»
Difficile, dans ce contexte mouvant, de répondre aux attentes du conseil d’administration qui attend des indicateurs clairs et précis, observe encore Didier Guyomarc’h. «Il n’est pas nécessaire que les administrateurs aient connaissance des 350 000 alertes portant sur des malwares qui démontrent l’efficacité de l’outil qu’ils ont payé. Ils doivent simplement avoir l’assurance que des règles de sécurité sont en place, étudiées et comprises par toutes les parties prenantes. Pour convaincre le conseil d’administration de la crédibilité de la stratégie de sécurité, estime encore il faut être en mesure d’identifier les indicateurs de compromission, de réduire le délai de détection d’une infection et de garantir une reprise rapide de l’activité à la suite d’une attaque.»
