Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi SignBand de l'école Exia Cesi de Bordeaux (Prix Jeune pousse) et Dicodys de l'ECE Paris (Prix du public).

L'Image du jour

Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi ...

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Le Forum économique de Davos aborde les risques liés aux cyberattaques

Participants à une session de quantification des cybermenaces lors du Forum économique de Davos. (crédit : D.R.)

Participants à une session de quantification des cybermenaces lors du Forum économique de Davos. (crédit : D.R.)

Lors du Forum économique mondial de Davos, un rapport de Deloitte a été présenté sur les vulnérabilités et coûts liés aux piratages et vols de données. Un partage de l'information globale sur les cybermenaces est demandé. 

Cette année, le Forum économique mondial 2015 (WEF), qui s'est tenu à Davos du 21 au 24 janvier, a planché sur la cyber-résilience et la quantification des cybermenaces. Le rapport, intitulé « Partnering for Cyber Resilience Towards the Quantification of Cyber Threats » et réalisé avec l'aide du cabinet Deloitte, pourrait servir de cadre de travail pour aider les entreprises à estimer les risques résultants des cyberattaques.

Ce rapport, dont l'objectif est de fournir une méthode pour estimer le coût du cyber-risque pour les entreprises liste trois types d'évaluation : des vulnérabilités et des défenses de l'entreprise, du coût potentiel d'un piratage et d'un vol de données, et du profil de l'attaquant potentiel. Les experts en sécurité ont salué l'approche holistique adoptée par les auteurs de l'étude pour évaluer ce cyber risque. « Le choix de modèles probabilistes pour estimer les pertes pouvant résulter de ce type d'attaques va inciter les entreprises à trouver des solutions pour réduire au minimum l'impact des attaques et non à mettre sur pied des remparts plus ou moins efficaces pour protéger leurs réseaux », a déclaré Lance Cottrell, scientifique principal du cabinet de sécurité Ntrepid Corp. basé à Herndon (Virginie). Le rapport insiste aussi davantage sur la manière de gérer les conséquences de ces attaques quand elles se produisent. « Il est impossible d'empêcher toutes les attaques », a poursuivi Lance Cottrell. « Le cadre de travail proposé est basé sur la résilience et non sur la prévention. En cela, l'étude reflète une évolution majeure dans la façon de penser la sécurité ».

Les modalités envisagées intègrent également le calendrier sur la cybersécurité, tel que l'a défini le président Barack Obama, en particulier en ce qui concerne la sensibilisation aux attaques et le partage de l'information. « Avant le discours sur l'État de l'Union, la question était encore abordée de manière ambiguë », a déclaré Pete Metzger, vice-président et expert dans les pratiques en matière de cybersécurité au niveau mondial pour le cabinet de chasseur de têtes new-yorkais CTPartners. « Obama voudrait que ce sujet devienne prioritaire, mais il n'a pas défini de cadre ou donné de détails pour son application ». Selon Adam Kujawa, spécialiste en malware chez Malwarebytes, une entreprise de sécurité basée à San José, Californie, « si le cadre de travail préconisé par le Forum économique mondial est combiné avec la législation en matière de cybersécurité proposée par le président américain, cela pourrait avoir un gros impact, aux États-Unis en particulier ».

Un manque d'investissement sérieux dans la cybersécurité

En effet, « la plupart des entreprises n'investissent pas sérieusement dans la cybersécurité, car elles ont du mal à évaluer le risque, notamment financier, d'un piratage », a-t-il ajouté. « On ne peut jamais savoir quels moyens utiliseront les pirates pour cibler une entreprise, et comment protéger son réseau contre une telle attaque. Le nouveau cadre incite les entreprises à se mettre dans la peau des assaillants », a-t-il ajouté. L'étude accorde également plus d'importance à l'évaluation des risques dans la structure organisationnelle de l'entreprise. « Il oblige les dirigeants à s'emparer du problème », a commenté Kevin West, CEO de l'entreprise de sécurité K Logix LLC basée à Brookline, Massachusetts. « Elle ajoute aussi une composante business », a-t-il ajouté. Mais selon lui, il n'est pas possible d'appliquer cette méthodologie sans l'implication des dirigeants. « Ce n'est pas une approche tactique à un problème technique. C'est une approche stratégique qui prend en compte les préoccupations des entreprises ».

Ce rapport permet aussi au Forum économique mondial de désigner les défis à relever. Par exemple, les données historiques nécessaires pour estimer la probabilité des attaques que pourrait mener un type particulier d'assaillants dans certains segments de l'industrie sont insuffisantes. Pour combler cette lacune, le Forum appelle à un partage de l'information globale sur les cybermenaces. « Ce même manque de données freine également le développement d'un puissant marché de la cyberassurance », a déclaré Mike Lloyd, CTO de l'entreprise de sécurité RedSeal Inc. basée à Sunnyvale, Californie. Par exemple, les entreprises pourraient utiliser des bases de données comme celles de la National Vulnerability Database pour identifier les faiblesses de leurs systèmes de sécurité. « Red Seal propose ce type de service à ses clients.

Mais pour établir un lien entre les vulnérabilités et les pertes réelles chiffrées en dollars, il faut beaucoup plus de données que celles disponibles aujourd'hui », a-t-il ajouté. Un des problèmes est lié au fait que, même quand les entreprises ont contracté une cyberassurance, elles ne signalent pas tous les incidents aux assureurs, un peu comme l'automobiliste qui évite de rapporter un accrochage pour ne pas voir sa prime augmenter. « L'obligation de déclarer une violation comme le propose Barrack Obama pourrait contribuer à alimenter les tables actuarielles », a déclaré Mike Lloyd. « Actuellement, on peut seulement faire un diagnostic, mais on ne peut pas dire si le « patient » sera un peu ou très malade dans l'année ».

L'an dernier, le forum de Davos s'était intéressé aux implications pour les entreprises du monde hyperconnecté en s'appuyant cette fois sur un rapport du cabinet de conseil McKinsey intitulé « Risk and Responsibility in a Hyperconnected World ».

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité