ETI : faire face aux cybermenaces


Sébastien Roncin est chef de produit marketing chez Orange Cyberdefense. Il livre ici ses conseils aux entreprises de taille intermédiaire (ETI) pour se protéger contre les attaques informatiques. Entretien.

Quelles sont les spécificités et enjeux des ETI ?

Les entreprises de taille intermédiaire, dont la taille varie entre 250 et 5000 collaborateurs, ne représentent pas réellement un vertical. Face à cette grande variété, une caractéristique reste cependant commune : leurs budgets sont moins élevés que ceux des grands groupes, l’expertise en cybersécurité demeure moindre, ce qui joue sur leur capacité à traiter les questions de protection.

Globalement, le système d’information (SI) d’une ETI ressemble fortement à celui d’une plus grande société. Il est cependant moins équipé et moins appuyé par des équipes. Nous retrouvons également le même type de solutions pour répondre aux menaces, qui sont certes différentes de celles auxquels les grands groupes font face (ciblage encore plus précis), mais peuvent être tout aussi critiques. Cependant, lorsqu’elles sont touchées, elles restent moins préparées et moins réactives.

Enfin, il faut noter que certaines ETI, du secteur financier par exemple, sont soumises aux mêmes règlementations que les plus grandes entreprises, comme le PCI DSS (Payment Card Industry Data Security Standard), une norme de sécurisation des données appliquées aux émetteurs de cartes bancaires, comme MasterCard notamment. Certaines ETI médicales doivent elles aussi sécuriser les données des patients voire même respecter la loi de programmation militaire (LPM), ce qui les prépare à tous types de menaces.

Comment les ETI peuvent-elles évaluer leur niveau réel de risque ?

Pour une grande entreprise comme une plus petite, les principes d’évaluation des risques restent les mêmes. L’audit de sécurité demeure la solution la plus efficace et la plus adaptée aux ETI. Nous devons cependant proposer d’autres solutions, pour les plus faibles budgets, plus industrielles et plus automatisées. Dans un domaine différent, à titre d’exemple, les cyberSOC ont de plus en plus recours au machine learning, ce qui ouvre de nouvelles opportunités pour tous les marchés.

Face au panel de solutions possibles qu’une entreprise peut mettre en place (sensibilisation, renforcement sécuritaire, chiffrement des données…),
quelle approche doit-elle adopter ?

Là encore, comme pour les grandes entreprises, il faut définir des priorités. Mais avec un budget moindre, chaque entreprise doit faire des choix qui peuvent s’avérer drastiques. Chaque entreprise doit déterminer ce qui est le plus important pour elle, ce qui a le plus de valeur : pour certaines, il s’agira du site internet, pour d’autres des serveurs où sont stockés les brevets par exemple. Une fois ces priorités établies, si la protection des données est essentielle, la détermination des accès reste cruciale : l’information doit être maîtrisée à tout instant, ce qui implique maitriser le voyage de la donnée (création, modification, accès, transport, conservation) et de sensibiliser ses collaborateurs, des administrateurs jusqu’aux utilisateurs en interne. Aussi, il ne faut pas oublier ceux qui y accèdent depuis l’extérieur tels que les consultants, les commerciaux ou les télétravailleurs.

A quels équipements les ETI ont-elles aujourd’hui recours ?

Il reste difficile de faire des généralités. Les règles de sécurités évidentes sont en général bien intégrées et les équipements d’usage comme les firewalls ou les antivirus sont au rendez-vous.

Ce qui manque encore, et souvent pour des raisons budgétaires, c’est la surveillance des menaces, la détection des attaques et la réponse à incidents. L’innovation technologique arrivera par et pour les grands groupes. Une fois démocratisés, ces outils seront intégrés plus facilement par les ETI.

Comment les entreprises de taille intermédiaire peuvent-elles répondre efficacement aux attaques ? Les anticiper ?

L’idéal reste d’être accompagné. Ces entreprises, comme la plupart dans le secteur de la cybersécurité, ont du mal à recruter des experts. Le marché est tendu et les bons profils sont chers.  Aussi, entrer dans le jeu du « je fais tout moi-même » pour économiser se révèle souvent un pari risqué voire perdu d’avance : une ETI ne va pas pouvoir investir dans des ressources expertes dans tous les domaines. Sa vision de la sécurité du SI ne sera alors que parcellaire.

Pour anticiper les risques, il faut s’assurer d’avoir une politique de sécurité du SI. Celle-ci doit être révisée régulièrement (une fois par an est une bonne périodicité) et accompagnée d’une analyse des risques pour vérifier que la gouvernance reste pertinente face aux usages en cours. Il faut sans cesse remettre en cause ce qu’on a fait la veille : c’est la boucle d’amélioration continue essentielle en sécurité.

A propos du blogueur

En tant que chef de produit chez Orange Cyberdefense, Sébastien Roncin conduit les activités de développement de services liés à la gestion de la menace (anticipation, détection, réaction) depuis près de 10 ans.

Sébastien Roncin, chef de produit chez Orange Cyberdefense