Comment une entreprise peut-elle réduire sa surface d’attaque ?

Éviter les vulnérabilités, les détecter à temps et les réduire en temps utile. Comment augmenter la cyber-résilience et répondre aux nouvelles exigences de conformité ?

Fabian Faistauer
Director, Head Cybersecurity Technology & Transformation, PwC Suisse

Christoph Ulmer
Cybersécurité et protection des données, PwC Suisse

L’actualité fait déjà état de graves cyberattaques presque tous les jours, entraînant la perte de données ou l’incapacité des organisations à fournir leurs services. Pourtant, la dépendance aux systèmes informatiques augmente au même rythme, que ce soit pour les professionnels ou dans la sphère privée. Les structures informatiques toujours plus complexes et distribuées exposent de plus en plus de surfaces d’attaque qui sont exploitées sans scrupule par les pirates informatiques.

La faiblesse des dispositifs de défense de nombreuses entreprises a entraîné une augmentation de la pression réglementaire. En particulier pour les « infrastructures critiques », les organismes de régulation exigent de plus en plus d’améliorer la cyber-résilience. Il est désormais clair qu’une protection à 100 % est illusoire et qu’il faut, au contraire, trouver un moyen de gérer ces attaques incessantes.

Traditionnellement, le secteur financier est le plus réglementé. En effet, la FINMA a révisée la circulaire sur les risques opérationnels et la résilience, et le « Payment Card Industry Security Standards Council » a publié la nouvelle norme PCI DSS 4.0. De nombreuses autres réglementations visent également à ce que les organisations soient plus vigilantes et résolues à identifier les cyber-risques et à les réduire à un niveau acceptable.

Cybersecurity and Privacy

Cybersécurité et protection des données

Les cyberattaques représentent une menace permanente pour les entreprises issues de tous secteurs d'activité. Nous vous aiderons à identifier les risques et à les combattre.

En savoir plus

La cyber-résilience en cinq étapes

Connaître la surface d’attaque et la réduire activement

Chaque entreprise a besoin de visibilité sur les environnements informatiques qu’elle utilise. Pour cela, elle doit disposer d’un inventaire des actifs informatiques comprenant tous les appareils, les versions des micrologiciels (firmwares), les systèmes d’exploitation et tous les autres logiciels importants. Pour réduire la surface d’attaque, il faut que :

  • seules les versions à jour soient utilisées
  • les fonctionnalités qui ne sont pas utilisées soient désactivées
  • les risques liés aux vulnérabilités connues soient minimisés

Détecter les attaques de manière rapide et fiable

La détection rapide et fiable des cyber-attaques n’est possible que si une organisation est en mesure de surveiller les aspects suivants et d’identifier ainsi les anomalies ou les méthodes d’attaque connues :

  • Surveillance du ou des répertoires contenants tous les ID des utilisateurs employés par l’organisation et par des tiers pour accéder aux systèmes informatiques et aux données.
  • Surveillance des terminaux clients (PC, tablettes, smartphones) avec lesquels les utilisateurs autorisés accèdent aux données.
  • Surveillance des serveurs sur lesquels les données sont stockées et traitées.
  • Surveillance de toutes les connexions réseau depuis/vers Internet, les zones de serveurs, les réseaux partenaires et les services cloud.

Le regroupement des logs depuis différents systèmes est utile, mais n’est pas réellement suffisant pour une détection rapide des anomalies. Pour ce faire, il est nécessaire de disposer de solutions modernes de « détection et réponse étendues » – aujourd’hui généralement basées sur le cloud – ainsi que d’une équipe performante. Toutefois, cela ne signifie pas que chaque organisation doive mettre en place elle-même un « Security Operations Center » (SOC). En fin de compte, toutes les organisations n’ont pas eu à créer leur propre unité de pompiers en cas d’incendie par le passé.

Réagir rapidement et efficacement aux attaques

Dès qu’une attaque, telle qu’une anomalie ou une fuite de données suspecte, est détectée, l’« Incident Response Team » doit pouvoir réagir rapidement et prendre des mesures efficaces. Il faut notamment s’exercer aux cybercrises, car les gens ne puevent gérer les crises que s’ils les comprennent. C’est précisément sur ce point qu’un scénario de cyberattaque se distingue d’autres situations de crise telles que les inondations, les incendies ou les tremblements de terre – la crise n’est pas visible et est difficilement « compréhensible ».

Développer la capacité de reprise des activités en cas de défaillance

Malgré toutes les précautions prises, l’infrastructure informatique peut faire l’objet d’attaques ou subir des défaillances. La capacité de restauration « bare metal » après une attaque de ransomware ainsi que la compréhension de l’interdépendance des différents composants informatiques et la remise en état ordonnée nécessitent de la pratique et des connaissances approfondies de son parc informatique.

Processus d’amélioration continue et apprentissage à partir des incidents

Comme le dit le proverbe, « c’est en forgeant que l’on devient forgeron ». C’est pourquoi chaque organisation devrait chercher à protéger d’abord rapidement les données et les systèmes informatiques particulièrement importants, puis à adopter une démarche d’amélioration continue et continuer d’accroître l’étendue de la protection. Rares sont ceux qui parviennent à mettre en place la solution idéale dès le début, car le contexte et l’environnement informatique évoluent extrêmement rapidement.

Commencez par la première étape de la cyber-résilience – en partant du bon pied

La première étape vers la cyber-résilience exige de connaître sa propre surface d’attaque et de la réduire à un niveau acceptable. Les aspects suivants jouent un rôle décisif dans cette première étape :

Obtenir une vue d’ensemble de l’environnement informatique et en faire l’inventaire

Obtenez une vue d’ensemble de votre environnement informatique et dressez un inventaire de vos actifs informatiques :

  • ID d’utilisateur : Combien d’utilisateurs sont inscrits au sein de votre organisation ? Combien d’entre eux sont des administrateurs système, lesquels sont des partenaires externes et combien de clients ont accès à des données sensibles ?
  • Gestion des appareils : Combien d’appareils « gérés » comme les PC et les ordinateurs portables sont administrés par le département informatique ? Quel est l’état des systèmes d’exploitation installés et quels sont les logiciels standard ou spécifiques utilisés ?
  • Centre de données sur site : Quels sont les équipements informatiques présents dans votre centre de données / salle informatique ? Combien de segments de réseau gère le département informatique et où se trouvent exactement les interfaces de communication vers l’extérieur ? Quel est l’état des systèmes d’exploitation installés et quels sont les logiciels standard ou spécifiques utilisés ? Utilisez-vous des solutions logicielles développées en interne ?
  • Externalisation : Quelle partie de votre parc informatique est externalisée ? Que font exactement vos partenaires et quel est votre rôle dans ce contexte ? Rappelons que tout peut être externalisé – sauf la responsabilité. Celle-ci est toujours assumée par l’entreprise qui externalise une fonction ou une ressource.
  • Cloud : Le Cloud est également une forme d’externalisation. Tout d’abord, vous devez clarifier quel type de service vous choisirez dans ce cadre, que ce soit Software as a Service (SaaS), Platform as a Service (PaaS) ou Infrastructure as a Service (IaaS). Vous resterez toujours responsable de la protection des données et de la gestion des droits d’accès en tant que client du cloud. Dans le cas de l’IaaS, vous devrez probablement vous-même mettre à jour le système d’exploitation et les logiciels de vos machines virtuelles (VM).
  • Liste des données collectées : Celle-ci comprend d’une part les données d’identification personnelle qui sont soumises à la loi sur la protection des données correspondante ou qui doivent répondre à des exigences de protection encore plus étendues comme le secret professionnel (par exemple pour les médecins ou les avocats) ou la protection des données des clients des banques. Une autre catégorie est celle des données « critiques » dont une entreprise a besoin pour la continuité de ses activités. Il peut s’agir de secrets d’affaires ou de procédures. Ces données doivent être catégorisées, puis classées et enfin soumises à une analyse des besoins en matière de protection – indépendamment du fait qu’elles soient stockées dans le cloud ou dans votre propre centre de données sur site.

Cet inventaire, sous forme de liste de vos actifs informatiques, est la condition préalable pour qu’une organisation puisse surveiller quels utilisateurs accèdent à quelles applications et finalement à quelles données, avec quels appareils et via quels réseaux. Si cette transparence fait défaut, il devient impossible de détecter d’éventuelles anomalies.

N’utiliser que des versions à jour

Chaque environnement informatique a un cycle de vie. Si vous utilisez un appareil informatique ou un système d’exploitation, vous savez pendant combien de temps il sera pris en charge par le fabricant. Si vous l’oubliez, vos fournisseurs vous font généralement savoir à quel moment un système ne sera plus pris en charge (« fin de support »). Après cette date, vous ne bénéficierez plus de mises à jour de sécurité pour combler d’éventuelles lacunes. Cela peut paraître anodin, mais la réalité quotidienne montre que dans de nombreux cas, des systèmes sont encore en service alors qu’ils ne sont plus pris en charge par les fabricants, ce qui fragilise considérablement les systèmes informatiques de l’entreprise.

Il peut y avoir des raisons opérationnelles qui justifient que les appareils ne soient pas remplacés dans cette situation. Mais dans ces cas, les risques supplémentaires doivent être identifiés, évalués et réduits à un niveau acceptable. Si un appareil « en fin de support » est utilisé sans mesures supplémentaires, cela présente un risque important. Il vaut mieux remplacer à temps les appareils et les versions qui ne sont plus pris en charge.

Normes de durcissement / Bases de référence concernant la sécurité opérationnelle

Chaque fabricant ainsi que différentes organisations comme le CIS, le NIST, etc. fournissent des bases de référence sur la manière de configurer les appareils et les systèmes de manière à activer uniquement les fonctionnalités nécessaires et à réduire autant que possible les vecteurs d’attaque connus. Cela signifie qu’une entreprise doit établir des normes de durcissement concernant la sécurité de ses serveurs, ses ordinateurs et de ses équipements de réseau, tout en les vérifiant et en les ajustant régulièrement. Il ne s’agit pas juste de décrire le standard et de le publier. Les unités opérationnelles correspondantes doivent veiller à ce que les nouvelles installations soient conformes aux prescriptions.

En outre, il convient de vérifier à intervalles réguliers (p. ex. au moins tous les trois mois selon la norme PCI DSS) si le durcissement des systèmes en cours est encore conforme aux prescriptions.

Qu’est-ce que la conformité en matière de sécurité et pourquoi est-elle importante ? En savoir plus, lisez notre article de blog.

Analyse régulière des vulnérabilités (Vulnerability Scan & Management)

En plus du durcissement, il faut également vérifier à intervalles réguliers si des vulnérabilités connues sont identifiées sur les systèmes. Celles-ci doivent ensuite être corrigées ou atténuées par des mesures compensatoires dans le cadre d’un processus structuré et axé sur les risques.

Livre blanc sur la gestion des vulnérabilités

Comment gérer les vulnérabilités locicielles avec efficacité ?

En savoir plus

Gouvernance des technologies de l’information et de leur sécurité

La gouvernance des technologies de l’information et de leur sécurité ne peut être fiable que si les rôles et les responsabilités sont clairs et si les tâches sont confiées à des équipes disposant de ressources et de compétences suffisantes. Pour ce faire, il convient de mettre en place une gestion des services informatiques / un environnement de processus de sécurité informatique conformément aux normes ITIL 4, afin que les rôles et les responsabilités soient formalisés, documentés et confiés à des personnes identifiées pour chaque étape du processus. Ces personnes doivent également rendre des comptes si les directives ne sont pas respectées.

Outils et interfaces intégrés

La cyber-résilience exige de la transparence concernant l’environnement informatique et l’état des composants. Pour ce faire, l’inventaire et le scanner de vulnérabilité doivent être reliés entre eux afin de vérifier si les informations mentionnées dans l’inventaire correspondent aux points clés analysés sur le réseau. C’est la seule façon de tenir l’inventaire à jour et de maintenir un niveau élevé de qualité des données.


#social#

Une solution sur mesure

Notre solution couvre l’ensemble de votre parcours vers la cyber-résilience.


Lors de l’évaluation, nous déterminons le degré d’avancement de votre organisation sur la voie de la cyber-résilience. Pour ce faire, nous utilisons comme référence les bonnes pratiques existantes et les modèles de maturité, ce qui vous permet d’identifier les principales lacunes.


Pour combler les lacunes identifiées, nous planifions et mettons en œuvre une transformation par le biais d’un projet. Cette transformation doit être globale et prendre en compte aussi bien les outils que les processus et les aspects liés à la gouvernance.


Une solution n’est bonne que si elle est intégrée dans les processus d’exploitation de l’organisation. Pour ce faire, nous vous soutenons avec différents modèles tels que « early life support », « Managed Service » ou tout autre modèle qui s’avère le plus judicieux pour votre environnement et votre problématique spécifiques.

Grâce à notre service géré (Managed Service), vous pouvez vous concentrer sur votre activité principale

Dans le domaine de la gestion des vulnérabilités et des Normes de durcissement / Bases de référence concernant la sécurité opérationnelle ainsi que de la cyberdéfense gérée, PwC dispose d’une vaste expérience et d’une expertise que nous proposons volontiers à des prix attractifs selon le modèle « facturation à l’usage », incluant l’outillage nécessaire. Votre organisation peut ainsi en bénéficier rapidement et faire un pas important vers la résilience.

https://pages.pwc.ch/core-contact-page?form_id=7014L000000DYCIQA4&embed=true&lang=fr

La confiance, facteur clé de réussite

Faites confiance à une équipe qui, lors de la transformation de votre entreprise, réfléchit avec vous à des solutions de cybersécurité appropriées, les implémente et les suit avec vigilance. Travaillons ensemble pour créer durablement de la valeur et inspirer la confiance.

Explorez notre offre

Nous contacter

Fabian Faistauer

Fabian Faistauer

Director, Cybersecurity Technology & Transformation, PwC Switzerland

Tel : +41 58 792 13 33

Christoph Ulmer

Christoph Ulmer

Cybersecurity and Privacy, PwC Switzerland

Tel : +41 58 792 23 14