Une prise de conscience grandissante
«Plus que les menaces elles-mêmes qui existent depuis un certain temps déjà, c’est la prise de conscience qui s’est amplifiée, avec l’hypermédiatisation du cyber-espionnage tout comme du piratage des grandes entreprises ou institutions», affirme François Barret, en charge de la sécurité d’informations au sein du département conseil chez EY Luxembourg. Interview.
EY a mené une étude annuelle en matière de sécurité de l’information, baptisée ‘Get Ahead of Cybercrime’, auprès de 1.825 entreprises dans 60 pays. Comment l’étude a-t-elle été menée, sur quels éléments s’appuie-t-elle ?
L’étude ‘Get Ahead of Cybercrime’ repose sur un questionnaire de 40 questions mis au point par notre cabinet aux Etats-Unis et envoyé effectivement à 1.825 entreprises à travers le monde actives dans tous les secteurs. Une vingtaine d’entreprises, de tailles différentes, ont répondu au Grand-Duché.
Il ressort de l’étude que la plupart des entreprises sont exposées à des menaces grandissantes. Quelles sont-elles et comment expliquer l’amplification du phénomène ?
Plus que les menaces elles-mêmes qui existent depuis un certain temps déjà, c’est la prise de conscience qui s’est amplifiée, avec l’hypermédiatisation du cyber-espionnage tout comme du piratage des grandes entreprises ou organismes depuis quelques années déjà.
Ceci étant, l’avènement du cloud computing et du ‘Bring Your Own Device’ tout comme l’explosion du volume d’informations au sein des sociétés et l’agrandissement de leur «périmètre d’action» sont autant de menaces qui viennent s’ajoutent aux autres. Dès lors, rien d’étonnant que l’on en découvre de plus en plus.
Ces considérations faites, il ne faut pas oublier que les menaces ne proviennent pas que de l’extérieur. En effet, bien souvent, les failles proviennent aussi de l’intérieur.
Les résultats obtenus au Luxembourg reflètent-ils la tendance générale ?
Force est de constater que les sociétés luxembourgeoises interrogées accordent sensiblement plus d’importance à la sécurité que la moyenne globale. 65% des responsables interrogés dans le pays estiment que l’employé sera à l’origine d’un risque, contre 57% globalement. Il en va de même au niveau des tierces parties, où l’écart avec les résultats dans leur ensemble est sensiblement le même et s’établit à 12%. La surreprésentation de l’activité financière et de ses activités de support ne sont pas pour rien dans ces résultats.
Quelles stratégies les entreprises et organisations doivent-elles mettre en place pour combattre le fléau de la cybercriminalité ?
EY, au travers de cette étude, propose d’évaluer la posture et la maturité des entreprises face à la cyber-criminalité sur une échelle de trois niveaux, «Activate», «Adapt», «Anticipate». «Activate» couvre les fondamentaux, à savoir la gestion des incidents, les contrôles techniques, la configuration des droits d’accès aux données selon les profils métier (IAM), et, enfin, la création d’un centre de gestion de la sécurité (SOC). Les sociétés à ce stade considèrent toujours la sécurité comme un coût et non comme un avantage concurrentiel.
Le niveau «Adapt» témoigne en revanche déjà de la volonté de se tourner vers une approche plus dynamique de la sécurité, c’est-à-dire vers l’intégration de la sécurité à son environnement, qui, comme on le sait, évolue en permanence.
Pour atteindre le dernier niveau, «Anticipate», une société doit être en mesure de répondre à cinq questions essentielles concernant sa sécurité : «En tant que société, est ce que je sais où se trouvent mes bijoux de famille ?», «En quoi sont-ils vulnérables par le biais de mes processus métier?», «Comment peut-on les rendre inaccessibles sans mon autorisation ?», «Serai-je au courant des attaques perpétrées à mon encontre ?», «Est-ce que je me suis préparé à répondre aux attaques et à en réduire les impacts?». Il convient en outre d’organiser une veille sécurité, qui passe par la collaboration avec son environnement (par exemple autres sociétés, CSIRT, etc.), et de mettre au point des scénarios de défense adéquats.
Pour autant, la sécurité informatique a un coût substantiel, et nombre d’entreprises ne disposent pas de moyens financiers ou humains suffisants pour parer les cyberattaques potentielles. Comment dès lors faire face à celles-ci ?
Certes, la sécurité a un coût. Il n’empêche qu’il faut prévoir des scénarios pour réagir au mieux aux attaques, et ce, en fonction des moyens humains et financiers que l’on a à sa disposition, et de la sensibilité des données que l’on a à traiter.
Par expérience, nous constatons que les menaces proviennent aussi de l’intérieur de l’entreprise et ne sont que la conséquence de négligences facilement évitables. Il s’agit dès lors de mettre en place une gouvernance, des contrôles techniques et des actions de formation qui sont autant de mesures à la portée de tous.
Les entreprises doivent apprendre à considérer la sécurité comme un facteur de différenciation, qui peut leur apporter un avantage concurrentiel, et cesser de ne raisonner qu’en termes de coût.