Enjeux, budget, compétences : quels moyens allouer à la cybersécurité ?
Entre 2020 et 2021, l’ANSSI a enregistré une hausse de 37 % du nombre d’intrusions dans les Systèmes d’Information. En tête de ces cybermenaces, la nouvelle bête noire des services IT : le cryptage des données par rançongiciel.
Au-delà de la multiplication de ces actes malveillants, c’est surtout la professionnalisation de leurs acteurs qui inquiète.
Appât du gain, espionnage, déstabilisation, sabotage… Quelle que soit la finalité de l’attaque, les failles au sein des Systèmes d’Information (SI) sont de mieux en mieux exploitées et les hackers de plus en plus créatifs et performants. Une situation de plus en plus complexe qui pousse les organisations à repenser la robustesse de leur SI.
Pourtant, seulement 44 % des ETI font de la cybersécurité une priorité d’investissement. Principale raison de cet attentisme : elles ne savent pas par où commencer, ni quelles ressources – financières, technologiques et humaines – y consacrer.
En effet, si l’ANSSI recommande d’allouer 10 % du budget IT à la cybersécurité, la réalité est plus nuancée.
L’analyse des risques, première étape de toute politique de cybersécurité
Difficile de parler budget quand une entreprise n’a qu’une vague idée de ce qu’elle doit sécuriser. Mettre en place des lignes de défense sans savoir ce que l’on souhaite protéger est en effet parfaitement vain. Seul un audit permettra d’estimer précisément quels budgets et quelles ressources allouer à la cybersécurité : recrutement, plans de formations, investissements technologiques, etc. Une étape indispensable pourtant souvent négligée par les entreprises, notamment les PME, faute de temps et de moyens.
Dès lors, que doit inclure cet audit pour être efficace ? La surface d’attaque publique d’une entreprise est déterminante. Dans un premier temps, l’analyse de risques doit s’attacher à détecter toutes les vulnérabilités web potentielles exploitables par les hackers, telles que les firewall, VPN les enregistrements DNS, les messageries électroniques etc., autant de points qui pourraient permettre aux cybercriminels d’optimiser leurs techniques d’ingénierie sociale.
Quelles lignes budgétaires associer à la cybersécurité ?
Une fois le périmètre de protection défini, faut-il nécessairement allouer un budget conséquent à la cybersécurité ? Tout dépend de la maturité de l’entreprise et de la criticité des données qu’elle gère. Un Opérateur d’Importance Vitale (OIV) accordera bien évidemment un budget plus important qu’une PME lambda.
Cependant, quel que soit le secteur, certains dispositifs peuvent être mis en place facilement sans pour autant grever le budget de l’entreprise.
À commencer par la sensibilisation des collaborateurs. On l’oublie souvent, mais les malwares ne s’installent jamais seuls : 85 % des violations de données impliquent un élément humain, soit le premier facteur de cyber-risque en entreprise. L’objectif de ce programme de formation est de donner à chacun les armes pour se prémunir et former un premier bouclier.
Ensuite, des outils techniques de type Endpoint Detection and Response (EDR) permettront d’aller au-delà de l’analyse classique de virus et de malwares grâce à la détection proactive de comportements anormaux. Aux équipes SOC (Security Operation Center) alors de les analyser pour juger s’il convient de déclencher ou pas une alerte.
Autre atout non négligeable : leur capacité à identifier l’ensemble des points d’accroche pour les pirates sur l’ensemble du parc. À la clé : la possibilité de prioriser ces vulnérabilités en fonction de leur score pour déterminer la séquence de la remédiation.
Parmi les mesures efficaces également à déployer : le backup selon le principe du 3-2-1 (disposer de trois copies des données, stockées sur deux supports différents et conserver une copie de sauvegarde hors réseau) ; la ségrégation des privilèges selon les utilisateurs avec des mots de passe différents ; la protection via l’authentification multi facteur ; l’accès autorisé uniquement depuis certaines plateformes sécurisées VLAN…
Non seulement, ces mesures n’alourdissent pas le budget mais elles permettent surtout de mitiger les risques.
Enfin, toujours au chapitre des bonnes pratiques, ne surtout pas oublier d’anticiper la crise. La vraie question n’est plus de savoir si une attaque va arriver, mais quand elle arrivera pour être capable d’y répondre au bon moment. La mise à disposition d’un canal de communication indépendant du SI, incluant tous les contacts utiles, permet notamment d’activer rapidement l’ensemble des parties prenantes.
Cette gestion de crise est elle aussi trop souvent absente des lignes budgétaires, au même titre que les assurances cyber (seulement 8 % des ETI et moins d’1 % des PME y ont souscrit en 2020) ou encore la prise de contact avec un CSIRT (Computer Security Incident Response Team). Effectuée en avance de phase, elle permet pourtant une collaboration optimisée dans un contexte de crise.
En fonction des résultats de l’audit, toutes ces lignes budgétaires peuvent représenter une masse salariale importante en cas de recrutement ou de plan de formation massif. Elles rendent alors impossible une prise en charge de la cybersécurité 100 % en interne.
Recruter ou externaliser : la délicate question de la gestion des Ressources Humaines
Pourquoi pas les deux ? Difficile en effet de confier la protection de ses données à un tiers externe, même de confiance. Par conséquent, les entreprises pourraient être tentées d’internaliser leur cybersécurité. Un problème de taille se pose alors : comment embaucher dans un contexte de forte pénurie de talents ? 60 % des entreprises peinent en effet à pourvoir les postes ouverts en cybersécurité.
En réponse, la DSI peut s’appuyer sur les conclusions de l’audit pour répartir les tâches selon leur niveau de complexité et d’expertise. Aux équipes internes, la gestion de la sécurité périmétrique et des périphériques, aux experts externes celle du pentesting, la détection des bugs dans les applications métier et… la réalisation de l’audit lui-même.
Face à la sophistication des attaques et à la professionnalisation des attaquants, les entreprises n’ont d’autres choix que de redéfinir dès aujourd’hui les nouvelles frontières de leur SI. Leur objectif est de les densifier pour éviter toute intrusion, sans pour autant ajouter des complexités inutiles nuisant à la pleine exploitation du SI.
Comment ? Grâce à une répartition intelligente entre compétences internes et externes qui permettront d’optimiser le budget tout en étanchéifiant le SI.