Face à la montée et à l'ampleur nouvelle des menaces pour la cybersécurité, les entreprises sont tiraillées entre la nécessité de prévenir les agressions, mais aussi de réagir le plus vite possible, assurent des experts réunis à Lille pour le Forum international de la cybersécurité (FIC).
«Notre dernier rapport annuel montre, comme le précédent, que 100% des réseaux des 1700 entreprises que nous avons analysées dans neuf pays sont infectés par des codes malveillants», explique à l'AFP Christophe Jolly, directeur sécurité de Cisco France.
«L'un des moteurs du développement de la menace est la combinaison de la complexification des systèmes d'information, de la professionnalisation des cybercriminels et de l'augmentation des enjeux», résume Luc Delpha, directeur de l'offre gestion des risques et sécurité des SI du cabinet Provadys.
De nouvelles vulnérabilités sont découvertes quasiment tous les jours et concernent des millions de serveurs, à l'image de Shellshock ou Heartbleed révélés l'an passé.
«Ces vulnérabilités peuvent rester peu connues pendant des années et n'être exploitées que par les experts qui les ont découvertes ou revendues à d'autres pour en faire des outils de nuisance indétectables», détaille Luc Delpha.
«Les pirates progressent sans cesse et auront toujours une longueur d'avance sur les solutions de protection mises en oeuvre, l'objectif premier des équipes de sécurité est donc de la rendre la plus courte possible», souligne Arnaud Cassagne, directeur technique de Nomios.
En conséquence, selon Astrid-Marie Pirson, expert en sinistres Technologie Media Télécom chez l'assureur Hiscox, «la première chose à faire c'est d'abord de repenser sa politique de prévention».
L'entreprise doit «faire évoluer ses méthodes de protection, mieux appréhender le périmètre de son système d'information, réaliser des audits réguliers de la chaîne de détection des incidents, et mettre en place un plan de réponse graduée et de poursuite d'activité en cas d'incident».
Toutes ces mesures doivent s'accompagner d'un développement de la culture de la sécurité informatique auprès des employés et des dirigeants, en particulier ceux ayant accès à des données sensibles et qui représentent donc une cible de choix.
«Les attaques peuvent rapporter beaucoup pour un investissement initial très faible alors que le coût de la sécurisation croît avec l'apparition de chaque nouvelle menace», souligne Jean-François Louâpre, vice-président du Cesin.
Les systèmes industriels ciblés
«Il est donc illusoire de tout protéger, il faut réduire le risque sur ce qui est vraiment important pour l'entreprise et se tenir prêt à réagir pour le jour où ça arrivera, tant la probabilité d'un incident ou d'une attaque augmente», estime-t-il.
Dans ce contexte, une analyse des risques prenant spécifiquement en compte l'environnement de chaque entreprise est nécessaire.
«Les banques seront plus exposées aux fraudes financières, les commerces en ligne aux dénis de service et les assureurs aux vols de données», confirme Jean-François Louâpre.
«L'affaire Sony Pictures a montré une fois de plus qu'une attaque bien ciblée pouvait avoir un effet catastrophique sur l'activité d'une société», indique Franck Greverie, directeur général des activités de cybersécurité de Capgemini-Sogeti.
«Mais les plus répandues restent encore le vol de données client à des fins de commercialisation sur l'internet souterrain, qui génère des profits importants», ajoute-t-il.
Ce type de méfait, plus bénin en apparence, peut prendre néanmoins des proportions colossales.
L'attaque dont a été victime fin 2013 la chaîne américaine de supermarchés Target n'a ainsi pas seulement occasionné une perte de plusieurs centaines de millions de dollars.
«Une partie de la direction a été remerciée, les mesures de protection n'ayant pas été jugées suffisantes», rappelle Arnaud Cassagne.
Potentiellement accusés de ne pas avoir suffisamment agi malgré la porosité générale, les dirigeants de société font désormais face à des conséquences juridiques parmi lesquelles les plaintes de la part de salariés mécontents ne sont pas les moindres.
Ces contraintes pourraient déboucher à terme sur une nouvelle approche de la cybersécurité, moins basée sur l'identification des signaux faibles.
C'est dans ce sens que Franck Greverie évoque la possibilité de «poser des pièges là où on suppose que les pirates ont le plus de chance de passer».
Il y a en tout cas urgence à agir puisque selon lui «les systèmes informatiques de contrôle industriel, très vulnérables, sont désormais une nouvelle cible des pirates», avec les «conséquences matérielles et humaines» que l'on imagine.