Hervé Ysnel

Hervé Ysnel

Vice-Président Senior en charge des activités conseil sécurité, risque & continuité d'activité - CGI Business Consulting

Il n'y a pas de transformation digitale sans protection. La cyber-menace se classe aujourd’hui à la troisième place des principaux risques encourus par les entreprises, après les incidents climatiques et les armes de destruction massive. Cette cyber-menace revêt de multiples nouvelles formes, toujours plus difficiles à déjouer.

Ransomware, phishing ou cryptomining figurent désormais en tête de liste des cyber-menaces. Au global, les services de la délégation ministérielle aux industries de sécurité et à la lutte contre les cyber-menaces (Demisc) chiffrent à 32% l'augmentation des actes de cybercriminalité entre 2016 et 2017. L'impact de ces attaques, s'il est encore mal connu et évalué, n'est pas neutre.

Prenons, par exemple, celle qui a frappé British Airways, en septembre dernier. La compagnie aérienne a été mise en difficulté après un vol massif de données personnelles et financières ayant potentiellement impacté 380 000 de ses clients. Cette attaque a eu lieu à la suite d'une exploitation d’une faille informatique désormais réparée mais trop tardivement pour éviter que la réputation du groupe ne soit entachée. Ces événements doivent amener les dirigeants à considérer le risque cyber comme une menace (très) sérieuse.

L’humain, rempart indispensable

Si, pour se protéger des pirates numériques, la solidité de l'infrastructure informatique est un prérequis, le sujet ne se borne pas à la technique. De fait, n'oublions pas que l’humain constitue le premier rempart contre les attaques. D'où l'importance, pour les entreprises, de mettre en place des formations à destination de leurs collaborateurs, à tous les niveaux de l'organisation.

Car il serait faux de penser que la lutte contre la cybercriminalité ne serait que du ressort des informaticiens et de la DSI. La vigilance est une question de gouvernance. Au-delà des investissements techniques, l'implication des hommes et des femmes est un élément clé. Et pour cause. Avec la digitalisation des modes de travail, il existe désormais une indiscutable continuité numérique entre la vie professionnelle et personnelle des salariés.

Ancrer la sécurité dans la culture d'entreprise

Encore nombreux sont ceux qui utilisent, par facilité et réflexe, un mot de passe identique pour les sites qu'ils fréquentent à titre personnel et leur messagerie professionnelle. Ces mauvaises habitudes créent irrémédiablement des failles dans lesquelles s'engouffrent les cybercriminels.

C'est donc le rôle des entreprises de sensibiliser et de faire acte de pédagogie pour responsabiliser l'ensemble des collaborateurs. Il s'agit, en somme, de faire des salariés les premiers ambassadeurs de la sécurité de l’entreprise.

Ce changement de mentalité doit nécessairement s'inscrire dans la culture d'entreprise et être piloté par la direction générale. Une chose est sûre : l'anticipation des risques et l'élaboration d'une stratégie de défense relèvent bien de la gouvernance de l'entreprise.

Protéger les données, à l'heure du RGPD

Avec l'entrée en vigueur du RGPD (règlement général sur la protection des données), les entreprises sont d'autant plus responsabilisées. Contrairement à ce qu'imposait la précédente loi Informatique et Liberté, les entreprises n’ont plus à démontrer qu’elles utilisent les données personnelles de façon inappropriée. Elles sont désormais considérées comme responsables a priori.

En cas de contrôle de la CNIL, les entreprises doivent désormais prouver qu’elles ont adopté une politique de gestion des données personnelles appropriée, notamment en matière de sécurité. Dans le cas contraire, place aux sanctions. Depuis mai dernier, la CNIL a ainsi recensé 742 notifications de failles de sécurité qui, à 65%, provenaient d'actes malveillants… contre seulement 15% d'erreurs humaines. Ne nous trompons pas d'ennemi !

Faire confiance au numérique

La data est, certes, l'or noir des entreprises mais la nécessité de la maîtriser s'impose. Les plus importantes l'ont déjà compris. Pas moins de 18 000 Data Protection Officers ont été nommés en 2018 en France selon la CNIL. Restent les PME et TPE à accompagner, soit 90% des entreprises. Mais à une époque où la confiance est un élément clé, l'exploitation, l'analyse et la sécurisation des données est, plus que jamais, un enjeu concurrentiel et une force à venir pour les petites structures.

Endosser le rôle de l’entreprise qui protège, tant pour ses salariés que pour ses clients, est un puissant argument pour se démarquer sur le marché. Conscient de la sensibilité du sujet, le gouvernement français a lancé un appel, le 12 novembre dernier, pour inciter les États, entreprises privées et universités à collaborer dans le but d'instaurer un climat de confiance et de sécurité dans le cyberespace. Son ambition : lutter contre toutes les formes de cybercriminalité. Cet "Appel de Paris", porté par le président de la République Emmanuel Macron, nous conforte sur la nécessité de préserver la sécurité de nos environnements numériques.

A PROPOS DE L'EXPERT

Hervé Ysnel

Hervé Ysnel

Vice-Président Senior en charge des activités conseil sécurité, risque & continuité d'activité - CGI Business Consulting

Portrait d'expert CGI : Hervé Ysnel est Vice-Président Senior en charge des activités conseil sécurité, risque & continuité d'activité chez CGI Business Consulting