Attention aux pièces jointes ! La méthode privilégiée des cybercriminels pour s’introduire dans un système informatique n’a pas beaucoup changé. En revanche depuis ces deux à trois dernières années, les effets se font ressentir plus gravement et plus tardivement. « En moyenne, les intrusions sont détectées au bout de 180 jours, mais certaines peuvent durer plusieurs années, comme l’illustre le cas de Sony », rapporte Patrick Chambet, responsable sécurité des services d’information (RSSI) de la Métropole Nice Côte d’Azur. Lorsque les entreprises se rendent compte qu’elles ont été piratées, en général c’est trop tard, et les effets de bord se font déjà sentir. Et les dégâts peuvent être mortels.
« Après un grave accident de sécurité, 70% des PME en moyenne déposent le bilan dans les trois ans », indique pour sa part Alain Bouillé, président du Club des experts de la sécurité de l’information et du numérique (Cesin). Contre ces « menaces persistantes avancées » (en anglais, Advanced Persistent Threats), impossible de se prémunir à 100 % mais on peut en réduire les risques en étant à l’écoute des signaux faibles. Un utilisateur qui change brusquement de comportement, un disque brutalement saturé ou un gros débit sortant du système d’information… constituent autant d’indices pour les outils de supervision dédiés au système d’information, connus sous le nom de Siem (Security Information and Event Management ; en français : Gestion des informations et événements de sécurité).
Cette nouvelle génération de logiciels sait traiter et analyser les données en temps réel afin d’établir une corrélation entre les milliards de transactions quotidiennes et les scenarii métiers qui se produisent dans le système d’information. L’enjeu étant de trier les activités qui sont de l’ordre du normal et celle qui ressortent de l’anormal. Ce qui permet aux organisations de garder une avance sur les pirates informatiques. « Ces outils sont très coûteux et gourmands en ressources humaines, prévient Alain Bouillé. Et leur mise en place réclame de faire travailler de concert le service informatique et les directions métiers. »
Bien-sûr, des prestataires proposent déjà ce type de services. « La tendance actuelle consiste à associer au Siem un Soc (Security Operation Center ; en français : Centre d’opérations de sécurité) qui regroupe une équipe d’experts en cybersécurité dédiée à la surveillance et au secours du système d’information 24h/24 », fait savoir de son côté Patrick Chambet. Lequel insiste sur le fait que les solutions traditionnelles comme les antivirus, les systèmes anti intrusion et la sensibilisation des utilisateurs doivent être maintenus.
Éliane Kan
Commentez