Il est temps d’entrer en cyber-résilience
Se contenter de protéger des données ne suffit plus. Pour survivre dans un monde de plus en plus virtuel soumis à des attaques sans cesse plus virulentes, il faut devenir cyber-résilient. Mais comment faire? Quels comportements et quelles solutions adopter? Yves Reding et Philippe Dann, respectivement CEO et Head of Risk & Business Advisory, nous apportent des éléments de réponse.
Pourquoi estimez-vous urgent d’entrer en cyber-résilience?
YR: Nous sommes dans une période charnière à mi-chemin entre deux révolutions industrielles: la troisième née à la fin du siècle dernier, essentiellement basée sur les technologies de la communication et l’exploitation de la donnée comme nouvelle matière première, la quatrième apparaîtra probablement à la fin de ce siècle et cristallisera la convergence de toutes les nouvelles technologies à venir. D’un monde physique, nous passerons progressivement à un monde virtuel. Or, dans ce cyberespace en devenir, la plupart des particuliers, organisations, états ne sont pas dotés d’un système immunitaire qui leur permettrait d’anticiper les cyberattaques, de les contrer et de les encaisser en récupérant les données perdues.
Ces cyberattaques sont-elles aussi nombreuses que vous le prétendez? Peuvent-elles devenir dangereuses au point de devenir mortelles, physiquement parlant?
YR: Les années 2017 et 2018 ont été marquées par des défaillances majeures en cybersécurité et 2019 sera pire encore. L’Union européenne notamment redoute des cyberattaques massives lors des élections prévues à la fin du mois de mai. Et ce n’est que le début! Dans le futur, lorsque tout deviendra digital, ces cyberattaques auront des conséquences bien plus graves. Imaginez un avion victime d’une cyberattaque ou d’un bug technique sans que le pilote puisse en quoi que ce soit intervenir.
Que faut-il faire pour éviter le pire?
YR: Il faut changer de paradigme, avoir une approche plus globale, ne pas se contenter de la cybersécurité axée sur la protection qui a clairement montré ses limites. Vu les menaces croissantes, il s’agit de considérer que le risque est devenu certain. Il faut être davantage dans la prévention et la détection permanente des dangers potentiels, être prêt à encaisser et gérer la crise pour pouvoir mieux réagir et rebondir. C’est pourquoi nous insistons beaucoup sur la notion de cyber-résilience, qui vise à construire un système immunitaire performant pour les entreprises et proposons à nos clients une approche de bout en bout, totalement intégrée.
Comment cette approche se concrétise-t-elle dans vos activités de conseils et d’accompagnement des entreprises?
PD: Nous aidons nos clients à répondre aux meilleures pratiques, dont les normes ISO 27001 et ISO 22301, voire à obtenir leur certification. Ces deux normes constituent les piliers essentiels de la cyber-résilience. ISO 27001 définit les exigences pour l’établissement, la mise en œuvre et l’amélioration continue d’un Système de Management de la Sécurité de l’Information (SMSI), à savoir une approche systémique par laquelle une organisation veille à la sécurité de ses informations sensibles (gouvernance, personnes, processus, systèmes informatiques). ISO 22301 est la norme internationale pour le management de la continuité d’activité et a été conçue pour protéger les activités d’interruptions potentielles suite à des accidents, des erreurs humaines ou dysfonctionnements organisationnels et techniques, et évidemment les malveillances, dont les cyberattaques. En 2018, nous avons ainsi accompagné plus de 80 clients, au Luxembourg, en Belgique et en France.
Ce qui distingue foncièrement notre accompagnement des clients de celui de la concurrence, c’est que le nôtre n’est absolument pas théorique mais, au contraire, pragmatique et basé sur des retours d’expérience. Tout ce que nous recommandons à nos clients, nous l’appliquons au sein de notre propre entreprise. Notre entreprise est certifiée ISO 27001 et ISO 22301 depuis de nombreuses années et nous exécutons en interne au jour le jour toutes les bonnes pratiques inculquées à nos clients.
YR: C’est un cercle vertueux en quelque sorte. Les solutions et méthodes que nous développons en interne, nous les appliquons à nos clients et les solutions spécifiques que nous proposons chez nos différents clients, nous les appliquons ensuite en interne. Cette mutualisation, du savoir-faire et des ressources, rendue possible grâce à notre offre globale, fait que nous sommes uniques sur le marché.
Vous avez également mis en place un écosystème digital de confiance. Pouvez-vous nous en dire plus?
PD: Outre les compétences de nos équipes spécialisées, nous avons intégré un écosystème de partenaires pour apporter encore plus d’innovation et d’efficience dans notre offre de conseil. Nos partenaires sont notamment spécialisés dans la gestion des cyber-risques et la protection des données personnelles, la sécurisation et le traçage des accès, les risques liés à l’identité et aux droits d’accès et l’automatisation des communications en cas de crise.
YR: Cette volonté de créer un écosystème digital de confiance sur plusieurs pays ne se limite pas seulement à des partenariats. Nous voulons devenir un centre d’excellence en Europe dans la protection et la gestion des informations sensibles. Par ses récentes directives, et notamment la directive NIS (Network and Information System Security), l’Union européenne veut devenir un continent cyber-résilient et nous voulons apporter à notre manière notre pierre à l’édifice, non seulement en conseillant nos clients mais aussi en restant en contact permanent avec d’autres institutions et opérateurs critiques, notamment luxembourgeois, actifs en matière de cybersécurité et de cyber-résilience.
PD: Nous avons établi une collaboration étroite avec le Cybersecurity Competence Center (C3). Après avoir réalisé des exercices de gestion de crise en interne, nous invitons nos clients à monter d’un cran et à participer à la plateforme de simulation et d’entraînement du C3, baptisé Room 42 – Do(n’t) Panic. Dans une salle fermée, nos clients subissent des cyberattaques envoyées en temps réel et doivent trouver en un minimum de temps des solutions pour les éliminer ou les endiguer.