Bulletins de l'Ilec

Sécuriser pour gouverner - Numéro 457

01/05/2016

Si l’invulnérabilité est illusoire, l’identification des risques numériques demeure nécessaire, comme l’évaluation de leurs impacts sur l’activité de l’entreprise. Entretien avec Guillaume Tissier, directeur général de CEIS, coorganisateur du Forum International de la cybersécurité (FIC)1

Comment une entreprise de PGC peut-elle se maintenir à niveau, face à la sophistication croissante des attaquants ?

Guillaume Tissier : Les entreprises de PGC sont exposées aux risques numériques au même titre que les autres. La première chose est d’évaluer ces risques. Ils diffèrent pour chaque entreprise, car ils dépendent de sa surface d’exposition. Plus elle est présente sur la Toile, plus elle est « numérique », plus elle est potentiellement vulnérable. Un système d’information invulnérable, ça n’existe pas. Il faut voir le problème en face, sans culpabiliser les entreprises. Toutes ont été ou seront un jour victimes d’une attaque informatique. En matière de criminalité informatique, la course entre le gendarme et le voleur est permanente. La différence se fera par la prise en compte des risques le plus en amont possible. Si les menaces sont réelles, il n’y a pas de fatalité.

Quels sont les « cyber-risques » ?

G. T. : Les risques informatiques sont de différents ordres : il y a le risque de panne, en raison d’un événement accidentel, et le risque de malveillance. Celui-ci consiste en risques traditionnels, que la transformation numérique et la dématérialisation des échanges ont accélérés (fraudes en tout genre, abus de confiance, diffusion de contrefaçons sur Internet…), et en risques spécifiquement liés au numérique, comme les attaques en déni de service, les vols de données ou les extorsions de fonds à l’aide de rançongiciels (logiciels malveillants qui prennent en otages des données personnelles). Dans tous les cas, ces risques peuvent avoir des conséquences lourdes en termes financiers : manque à gagner en chiffre d’affaires, coût de la remise en service, amendes en cas de mise en cause de la responsabilité de l’entreprise… Et en termes d’image de marque. Après l’identification de ces risques, qui doit impliquer tous les métiers de l’entreprise, il s’agit d’évaluer leur impact potentiel en termes de disponibilité (d’un site de vente en lilgne, d’un système industriel…), d’intégrité (une modification de certaines données informatiques peut avoir des conséquences graves), de confidentialité (vol d’information) et de traçabilité.

Les entreprises doivent-elles conserver le contrôle de la cybersécurité en interne ou faire appel à des prestataires ?

. T. : Le recours à des prestataires extérieurs qualifiés est recommandé. Seules les plus grandes entreprises disposent des moyens et de la taille critique pour mettre en place leur propre dispositif de sécurité. Et même dans ce cas, il est utile d’avoir un regard externe. Ces prestataires sont de différents types : prestataires spécialisés d’audit et de conseil, qui vont évaluer la sécurité de l’entreprise et analyser les risques, et entreprises de service, qui vont assurer au quotidien l’infogérance des systèmes d’information. Certaines ont développé des services de sécurité spécialisés, et mettent à disposition de leurs clients des divisions qui assurent la sécurité de l’organisation (SOC) et des centres d’alerte et de réaction d’urgence aux attaques informatiques (CERT). Arrivent aussi sur le marché des polices d’assurance spéciales, qui permettent aux entreprises de s’assurer contre certains risques liés aux systèmes d’information.

Est-il possible de conjurer l’asymétrie de la menace d’attaques transfrontières et anonymes ?

G. T. : La dimension transfrontalière de la cybercriminalité est un défi permanent. Certains États sont des paradis fiscaux, d’autres des paradis cybercriminels, qui tolèrent voire encouragent la cybercriminalité. Mais les choses progressent au plan international, de nombreux pays ont signé la Convention de Budapest, qui favorise les échanges d’informations. Récemment, l’Organisation de l’unité africaine a adopté la convention de Malabo, qui s’appliquera à terme aux pays africains.

Comment les entreprises peuvent-elles profiter sans risques de l’hébergement en nuage ?

G. T. : Il faut raisonner en termes de sécurité, et s’assurer que le prestataire est compétent, car on a souvent affaire à une chaîne de sous-traitants dans laquelle un éditeur de « logiciel en tant que service » (SaaS) recourt à un hébergeur pour abriter ses serveurs. Mais il faut raisonner aussi en termes de maîtrise des données, car la sécurité n’est pas tout. Externaliser les données dont certaines sont sensibles est parfois indispensable, jamais anodin. C’est confier son patrimoine, parfois les clés de la maison, à un tiers, ce qui suppose qu’on ait confiance en lui. Et si l’on externalise des données sur les clients, cela engage triplement : vis-à-vis de l’entreprise (et des actionnaires), vis-à-vis des clients (responsabilité civile en cas de fuite), vis-à-vis de la justice, qui pourrait reprocher à l’entreprise une infraction en termes de protection des données personnelles. Il faut donc bien évaluer les risques en amont, notamment en termes de législation applicable, et s’assurer que les conditions générales de vente du prestataire offrent certaines garanties. Nous travaillons avec l’association Cloud Confidence2 à promouvoir un référentiel de confiance. Car en 2025, 80 % des applications professionnelles seront hébergées dans le Nuage. Mieux vaut accompagner le phénomène.

L’art de manipuler les personnes est-il un risque majeur ?

G. T. : De plus en plus. L’actualité plaide en ce sens. Non seulement la menace n’est pas théorique, mais elle est proche. Il y a quelques mois, une clinique de Boulogne-sur-Mer a été victime d’un rançongiciel et n’a dû son salut qu’à son dispositif de sauvegarde, qui lui a permis de remplacer les données qui avaient été chiffrées par les cybercriminels. Le nombre d’arnaques au président va croissant : une personne toujours bien informée téléphone, généralement pendant les vacances, au comptable d’une entreprise en se faisant passer pour le grand patron et demande un virement urgent…

Les comportements diffèrent-ils selon les générations ?

G. T. : Oui. Toutes les générations sont concernées par le phénomène, mais il y a des différences entre elles. Le comportement de la génération Y est paradoxal : un jeune sur cinq s’est déjà fait voler ses coordonnées bancaires, et ils se mettent à nu sur les réseaux sociaux avec des informations potentiellement exploitables par un tiers malveillant. Bien vivre avec le numérique, même quand on est né avec, n’est pas inné. Cela s’apprend. •

1. www.ceis.eu ; www.forum-fic.com.
2. www.cloudconfidence.eu.

Propos recueillis par J. W.-A.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à l'utiliser, nous considérerons que vous acceptez l'utilisation des cookies.