Un contexte mouvant - Numéro 457
01/05/2016
Observez-vous une escalade dans le nombre de cyberattaques et dans leur degré de complexité ?
Philippe Trouchaud : Oui, en dépit d’un biais statistique – on mesure plus –, les attaques sur les sites industriels cette année ont connu un bond de 280 %. Il y a parfaite translation de la délinquance physique vers la cyberdélinquance. Ces attaques sont de surcroît toujours plus sophistiquées, furtives et scénarisées (appels téléphoniques avec l’imitation de la voix du président…). Les gens qui attaquent savent s’adjoindre les compétences financières ou fonctionnelles utiles à des opérations de trésorerie.
Les entreprises de PGC sont-elles plus touchées que d’autres ?
P. T. : Elles sont plus ciblées que d’autres, car la désintermédiation conduit de plus en plus ces entreprises à avoir des canaux de vente directe, à détenir des moyens de paiement. Or la première donnée fragile est le numéro de la carte bancaire. Et toutes ces entreprises se digitalisent pour améliorer la relation avec leurs clients. Elles sont conduites à détenir beaucoup de données personnelles sur eux. Le capital de confiance d’une marque peut être vite détruit en cas de cyberattaque.
Dans quelle mesure l’internet des objets, l’hébergement en nuage et la digitalisation augmentent-ils les cybermenaces ?
P. T. : Tout cela augmente mécaniquement l’exposition des entreprises. Hier n’étaient exposés que leurs centres de données ; avec la digitalisation même les murs d’un bâtiment peuvent avoir des capteurs. Target a connu aux États-Unis une cyberattaque par son système de climatisation ! Le big data amplifie les risques : un seul endroit virtuel réunit toutes les données… Vis-à-vis de leurs clients, la cybersécurité est-elle pour les entreprises quelque chose dont elles ont à répondre, un aspect de la RSE ? P. T. : C’est une tendance qui émerge aux États-Unis et qui va s’inscrire dans les règlements européens. Dès lors qu’une entreprise détient des données personnelles, elle a la responsabilité d’en garantir la sécurité. Cela deviendra une obligation de résultat.
La technique du cheval de Troie laisserait, dites-vous, 240 jours au pirate pour œuvrer sans être détecté ! Quelles alertes manquent aux entreprises ?
P. T. : Ces 240 jours sont une durée moyenne. Les attaques étant de plus en plus furtives, aucun indicateur ne peut les signaler. C’est la collation de signaux faibles qui permet de détecter les comportements anormaux. Moins de la moitié des entreprises ont un système d’alerte, il y a urgence pour les autres à s’équiper. Ce type d’équipement n’est pas comme une alarme de maison, il ne se déclenche pas au moment de l’attaque ; il faut apprendre à analyser les signaux faibles annonciateurs d’attaques.
Comment faire de la cybersécurité une opportunité pour les entreprises ?
P. T. : Toutes les entreprises font le même constat : les nouveaux entrants sur les marchés usent de nouvelles technologies résumées sous le terme d’ubérisation. Depuis trois ans, selon les études de PWC, tous les responsables des systèmes d’information entendent investir dans le digital, moyennant bien sûr des règles de sécurité. Investir pour contrer les nouveaux entrants en négligeant la sécurité ne sert de rien et détruit de la valeur.
Comment impliquer au mieux les salariés, les aviser des données à protéger, des risques d’intrusion, des erreurs à ne pas commettre (comme de recharger un téléphone mobile dans les hôtels, restaurants et salons professionnels ou se connecter à un wi-fi public) ?
P. T. : Il faut tenir un discours cohérent, expliquer que dans une entreprise les données sont des actifs qu’il faut protéger et qui n’ont pas vocation à être publiques. La jeune génération n’a pas la même vision que les seniors, plus vigilants, elle est habituée à échanger sur les réseaux sociaux sans contrainte ni limite. Elle n’est pas consciente de la chaîne de valeur de l’information. Il ne faut pas être dans l’interdiction, mais dans la démonstration des moyens de protection, et rappeler que la malveillance rôde toujours autour de l’entreprise.
Les formations universitaires consacrées à la cybersécurité permettent-elles de répondre à la demande ?
P. T. : Non, comme le soulignait en 2012 le rapport Bockel sur la cyberdéfense. On ne forme que quelques dizaines de spécialistes par an, il en faudrait des centaines, voire des milliers. Quels profils manquent ? P. T. : Il nous manque des gens capables de sortir du volet tout technologique, pour mieux appréhender les risques, et des statisticiens en mesure de comprendre les événements et d’avoir une vision du risque. Dans votre livre1, vous affirmez que la France dispose des atouts pour devenir le champion mondial des solutions de cybersécurité.
Faut-il que la protection des entreprises françaises soit elle aussi française ?
P. T. : Les enjeux de souveraineté sont très importants dans la sécurité, particulièrement dans la cybersécurité. Faut-il pour autant le tout-français, je ne le pense pas, cela semble irréaliste sur le plan économique, nous n’avons pas la taille critique. Mais comme dans l’aviation civile, disposer de champions nationaux voire européens serait souhaitable.
Le Règlement général sur la protection des données de l’UE peut-il obliger les entreprises à intensifier leurs pratiques en la matière ?
P. T. : Oui, l’environnement réglementaire des entreprises va devenir de plus en plus pressant sur le plan européen, mais aussi en France du fait de la loi de programmation militaire, avec les OIV (organismes d’infrastructures vitales), dont l’objectif est de renforcer la sécurité des grandes infrastructures, et des données des clients consommateurs. Cela fait peser sur les entreprises des risques financiers de plus en plus importants et les oblige à progresser en maturité sur le sujet. •