Gouverner le risque cyber pour une entreprise, c’est mettre en œuvre une stratégie globale. Celle-ci intègre des mesures techniques robustes ; une organisation résiliente et une culture de la cybersécurité. Tous ces éléments permettent de prévenir, de détecter, de répondre et de se remettre rapidement des cyberattaques.

Les risques cybernétiques

Le risque cybernétique est le danger inhérent à l’utilisation des technologies numériques, pour les individus et les entreprises. Sa réalisation a pour origine un acte malveillant, intentionnel ou non, de la part d’un des membres de l’écosystème de l’entreprise.

Le rapport Data Breach Investigations report 2024 de Verizon indique que l’intrusion dans les systèmes de l’entreprise, l’ingénierie sociale (exploiter les failles humaines) est la principale compromission susceptible d’affecter les entreprises. La forme de ces risques peut revêtir différentes formes : hameçonnage (obtenir des informations confidentielles en se faisant passer pour une personne ou une entreprise de confiance), rançongiciel (logiciels malveillants qui chiffrent les données d’une victime et exige une rançon pour les déchiffrer), les attaques par déni de service (attaques rendant un service informatique indisponible en lui demandant de traiter plus de demandes qu’il ne le peut. Les conséquences de ces actes malveillants sont diverses. Cela peut être une compromission de l’intégrité, de la sécurité, de la disponibilité, de la confidentialité, des données de l’entreprise ou de son système d’informations et de ses autres dispositifs informatiques. La motivation première des cyberattaquants reste financière, puis l’espionnage. Les données compromises sont majoritairement des données à caractère personnel, suivies des identifiants. Le secteur le plus impacté, en 2024, est celui des services publics, suivi du secteur de la finance et des assurances. Géographiquement, l’Amérique du Nord est la région du monde la plus impactée, suivie de l’Europe, du Moyen-Orient et de l’Afrique (EMEA).

Les principales mesures techniques de prévention des incidents cyber

Le principal dispositif visant à prévenir les menaces cybernétiques induites par l’exposition de l’entreprise est le Security Operations Center (SOC), assimilable au « poste de commande » de la sécurité des systèmes d’information. Ses équipes conduisent la gestion des incidents grâce à différents outils :

La Cyber Threat Intelligence (CTI) : c’est le processus de veille pour identifier les cyberattaques en vogue, les vulnérabilités qu’elles exploitent, leurs ampleurs, types et secteurs d’activités cibles. Pour faire sa veille, la CTI collecte et s’appuie sur des informations provenant de sources ouvertes (OSINT), fermées (partenaires, CERT) ou internes à l’entreprise. Confier la CTI à l’intelligence artificielle ( « IA ») ou simplement l’automatiser va permettre d’analyser plus vite et de manière plus ciblée les données des différentes sources, afin d’être plus proactif dans la gestion de l’exposition de l’entreprise aux risques cyber.
La Security Information and Event Management (SIEM) : assimilable au « garde du corps numérique » de l’entreprise, il s’agit du système de surveillance et d’analyse des événements numériques. Il va scruter en permanence les moindres recoins du système informatique pour détecter des activités suspectes. Pour cela, il collecte des données issues des éléments de l’infrastructure informatique de l’entreprise (serveurs, réseaux, etc.) et des événements de sécurité. Un événement de sécurité, ou une action inhabituelle, peut indiquer une activité suspecte, comme une cyberattaque. Par exemple, un nombre anormal de tentatives de connexion au serveur de l’entreprise pourrait constituer une activité suspecte. Le SIEM y répondra en envoyant une alerte à l’équipe du SOC. Les analystes du SOC vont mener des investigations pour approfondir l’incident et prendre les mesures adéquates.
L’Endpoint detection and response (EDR) : ce logiciel de sécurité informatique va surveiller en temps réel l’activité de tous les terminaux individuels de l’entreprise connectés à son réseau informatique. C’est bien plus qu’un simple antivirus. Il va analyser en profondeur le comportement des logiciels et des utilisateurs pour chaque appareil : tablettes, ordinateurs, serveurs, etc. Cela afin de détecter des menaces avancées qui échapperaient aux antivirus traditionnels. En cas de détection fructueuse, l’EDR agit en bloquant automatiquement l’appareil infecté et/ou en l’isolant du réseau informatique pour limiter la contagion et finalement les dégâts. Tous ces outils techniques utilisés par le SOC et/ou l’équipe d’analystes cybersécurité permettent d’identifier des indicateurs de compromission (IOC). Par exemple, un IOC peut être une adresse IP. Si cette dernière est étrangère à l’entreprise et tente d’accéder à ses serveurs, alors elle devient un IOC. Dans cet exemple, le SIEM enverra une alerte par conséquent.