À l’occasion du Forum International de la Cybercriminialité (FIC) qui s’est tenu à Lille les 24 et 25 janvier 2017, rencontre avec son fondateur, le général d’armée Marc Watin-Augouard.
Les entreprises, institutions ou collectivités territoriales ont-elles conscience de la nécessité de se protéger ?
Tout le monde est sensibilisé aux risques cyber mais peut-être davantage pour les autres que pour soi. Il n’y a pas que les grands groupes qui sont touchés ! Les start-up et les PME peuvent être bien plus intéressantes pour un prédateur que des entreprises du CAC 40. À mon sens, ce qui pose problème, c’est le manque de prise de conscience de l’accélération du développement de la transformation numérique. Nous passons d’une rupture technologique à une autre. Et cela échappe encore à la capacité de décision des entreprises et des institutions. Le système de formation ne progresse pas aussi vite que le besoin et je crains que l’on ne soit dépassé.
Pourquoi ?
De plus en plus d’universités et de grandes écoles forment à la cybercriminalité mais on est encore loin du compte, même si des masters se créent pour former des data scientists. On forme une génération qui sera aux commandes dans dix ans sans avoir conscience de l’impact de la transformation numérique. Je suis moi-même enseignant et j’ai introduit ces notions dans le cursus. L’Union européenne a annoncé qu’en 2020 il manquera 900 000 emplois dans le numérique, faute de formation adéquate. Oui le numérique détruit les emplois de faible qualification mais il en crée de nouveaux.
Revenons à la prévention des entreprises. Comment peuvent-elles se prémunir des cyberattaques ?
Il faut casser l’idée que la cybersécurité coûte trop cher. C’est un coût moins important que celui d’une perte de données. La première chose à faire, c’est de former, d’informer et d’associer le personnel. Chacun contribue à la cybersécurité de l’entreprise. Cela peut paraître évident mais il ne faut pas insérer une clé USB dont on ignore la provenance ! Il faut avoir une “hygiène informatique” ! Ensuite, l’entreprise doit travailler sur ses données et savoir comment les hiérarchiser. Des données volées, c’est la mort de l’entreprise ! Elle peut aussi utiliser des rewall, des logiciels de gestion, des mots de passe ou recourir à la crypto.
Et pour les collectivités ?
Certaines collectivités territoriales se regroupent pour mutualiser leur cybersécurité. On peut rapprocher ce fonctionnement de celui des incubateurs, qui proposent aux start-up un système sécuritaire environnant.
Dispose-t-on de données chiffrées sur le nombre d’entreprises cyber- attaquées ?
Malheureusement non. Quand elle est attaquée et que ses données sont copiées, l’entreprise ne le sait pas toujours. Et si elle communique, il y a toujours le risque d’une perte de confiance des clients et des fournisseurs. Cependant, les entreprises ont l’obligation légale de déclarer les vols de données à caractère personnel.
Que penser des objets connectés, devenus incontournables ?
Ils sont aussi des collecteurs de données personnelles… Certes, il y a un danger pour l’intimité. L’attaque informatique du 21 octobre 2016(*) aurait transité par des centaines de milliers d’objets connectés. Oui, l’objet connecté peut être source de criminalité. Prenez aussi le cas de l’hébergeur internet OVH, frappé d’une attaque massive en septembre 2016, via plus de 150 000 caméras connectées à distance…
Une cyberattaque est-elle forcément synonyme de mort de l’entreprise ?
La structure qui dispose d’un plan de reprise d’activité peut survivre. Mais quand une entreprise subit une escroquerie au faux virement, elle se fait piller ses liquidités et perd ainsi la confiance de ses clients… J’espère que, demain, la cybersécurité d’une entreprise sera perçue comme un avantage de compétitivité et non comme un coût.
(*) Une attaque informatique massive a paralysé le Web, essentiellement aux États-Unis. De type “déni de service” − saturer un service de connexion pour le rendre inaccessible −, elle a visé plus spécifiquement les services de Domain Name System de l’entreprise Dyn.
Un forum pour faire le point sur un sujet en perpétuelle évolution. Crédit : FIC.
Près de 9 entreprises sur 10 ne jugent pas leur service de cybersécurité optimal
Fin décembre 2016, EY, ex-Ernst & Young, a publié les résultats de son étude annuelle “Global Information Security Survey”, réalisée entre juin et août 2016 auprès d’un panel de 1 735 répondants de plus de 20 secteurs d’activité. 57 % des répondants déclarent avoir rencontré un incident en matière de cybersécurité, 48 % citent les contrôles de sécurité ou l’architecture comme les grands domaines présentant des vulnérabilités (+ 34 % par rapport à l’édition 2015).
Malgré des investissements conséquents, 86 % des interrogés estiment que leur système d’information ne répond pas pleinement aux besoins de leur organisation en matière de cybersécurité. 55 % déclarent ne pas avoir les moyens d’identifier les vulnérabilités. Si 57 % des répondants considèrent la poursuite des opérations et la reprise après un sinistre comme une priorité élevée, seulement 39 % prévoient d’investir davantage.
Crédit photo : FIC.
Prévenir les cyberattaques
Directeur général du CEIS, entreprise parisienne de conseil en stratégie et management des risques – et co-organisateur du FIC 2017 –, Guillaume Tissier (photo) fournit quelques conseils pour gérer de façon optimale la transformation numérique. Maîtrise des cyber-risques, management de l’innovation, développement des territoires, audits et conseils de sécurité de l’information…, en plus de ses prestations auprès de clients, CEIS organise des événements dans ses secteurs de prédilection, notamment la défense et la sécurité.
«IL NE FAUT PAS REFUSER LE PROGRÈS DES OBJETS CONNECTÉS MAIS LES ACCEPTER EN CONNAISSANCE DE CAUSE.»
Guillaume Tissier, directeur général de CEIS
«Nous sommes impliqués dans l’organisation du FIC depuis 2013. Ce salon, véritable plateforme en termes de business, symbolise la synthèse du volet stratégique et opérationnel que propose le CEIS», résume Guillaume Tissier. «Personne n’est à l’abri d’une cyberattaque. Les travaux de sensibilisation de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et du gouvernement portent leurs fruits mais les menaces et la surface d’exposition augmentent. Le numérique est omniprésent, il y a un côté attractif pour les hackers. C’est donc un vrai défi, on est encore loin d’une sensibilisation suffisante dans le top management mais aussi auprès des salariés.
Dans des situations d’urgence, on peut voir des comportements à risque comme échanger un contrat par mail ou utiliser des mots de passe peu solides… Certes la sécurité a un coût et toutes les entreprises n’ont pas les moyens de se protéger, mais la meilleure conduite reste la prévention en amont» explique Guillaume Tissier, et de poursuivre : «Quand l’incident arrive, le compromis est difficile entre la nécessité de l’enquête et la reprise de l’activité. Si je peux donner un conseil ? Dans un premier temps, porter plainte, et surtout, déculpabiliser ! Tous les acteurs sont touchés par la transformation numérique, l’usine du futur est connectée, les données sont vulnérables. Sans refuser le progrès des objets connectés, il faut les accepter en connaissance de cause et en agissant côté technique». Preuve de cette montée en puissance du numérique, les collectivités sont plus nombreuses dans les allées du FIC.
Vidéo : Marc Watin-Augouard, invité de TNTWeo
La chronique Eco & CO : la cybercriminalité par TNTWeo
Propos recueillis par Amandine Pinot.
Interview réalisée dans le cadre de ReseHebdoEco
www.facebook.com/resohebdoeco
Crédit photo : Katy Levinson.
0 commentaires