Digitalisation et dispersion
L’activité de toute organisation dépend de plus en plus de la disponibilité de ses systèmes d’information et de la donnée. Ces éléments sont considérés comme critiques, indispensables à la bonne marche de l’activité. Il est donc essentiel de mieux les protéger.
«La cybersécurité est devenue un élément que chaque dirigeant doit pouvoir considérer comme de nombreux autres facteurs de développement de son business. La maîtrise de la donnée, ainsi que sa protection, doit désormais être mieux appréhendée», commente Didier Wasilewski, head of sales au sein de Cegecom, opérateur télécom au Grand-Duché de Luxembourg.
Si, hier encore, les systèmes d’information se trouvaient au cœur de l’entreprise et n’étaient accessibles que depuis le poste de travail fixe, les choses ont changé.
«À l’ère du cloud, de l’internet des objets, du ‘all IP’, la donnée est accessible de partout, à tout moment, quel que soit le device privilégié pour se connecter. Les organisations se sont transformées. Si la donnée est plus accessible, la gestion de la sécurité des systèmes et la protection de la donnée sont devenues beaucoup plus complexes», poursuit Didier Wasilewski.
La mise en œuvre de nouveaux outils de collaboration et d’échange, au sein même de l’entreprise, entraîne une dispersion plus importante et plus rapide de l’information.
«Alors que la donnée devient une valeur-clé de notre économie, on constate qu’il est de plus en plus difficile d’en assurer la maîtrise» commente Isaak Dayan, managing director de Dartalis, société spécialisée dans le domaine de la sécurité de l’information, installée depuis une dizaine d’années au Luxembourg.
Pour échanger, à défaut de profiter d’outils efficients, les jeunes collaborateurs n’hésiteront pas à recourir aux outils qu’ils ont l’habitude d’utiliser pour leurs besoins personnels. «La question qui doit dès lors être posée, au sein de chaque entreprise, a trait au moyen de garder le contrôle alors que les flux et les échanges se multiplient», assure Isaak Dayan.
Une approche pragmatique au départ des risques :
Il y a quelques années, à une époque où le digital s’apparentait principalement au développement d’une simple visibilité sur internet, le risque était acceptable. Ce n’est désormais plus le cas. Toute la communication passe désormais par le réseau, ainsi que la plupart des transactions et des opérations.
L'indisponibilité, ne fût-ce que temporaire, d’un système informatique peut rapidement entraîner des pertes conséquentes. Les cybercriminels, malheureusement, sont bien conscients de ces enjeux. Selon leurs motivations, ils mettront divers moyens en œuvre pour prendre en otage un système, le faire tomber, subtiliser des données.
Le risque est réel. Personne n’est épargné.
Les titres dans la presse, régulièrement, révèlent l’ampleur de la menace. Du petit artisan à la banque qui a pignon sur rue, en passant par l’administration, tout le monde, du jour au lendemain, peut se retrouver victime d’une cyberattaque, opportuniste ou ciblée.
Comment, dans ce contexte, assurer la sécurité de l’information et garantir la disponibilité des systèmes? «Quelle que soit la taille de l’organisation, il faut appréhender la problématique de manière pragmatique, afin de mettre en œuvre les meilleures réponses, aussi bien organisationnelles que techniques, assure Isaak Dayan.
Le premier enjeu est de prendre conscience des risques nouveaux auxquels je m’expose.
Le problème aujourd’hui est que les décideurs prennent plus rapidement conscience de l’apport d’une technologie pour leur business que des risques afférents. Il est essentiel, pour le développement durable de son business, d’inscrire toute démarche de transformation digitale dans un cadre de confiance suffisant.
Cela implique une réflexion globale, avec de nouvelles règles de gouvernance, la mise en place de bonnes pratiques, une sensibilisation des utilisateurs, le déploiement de mesures de protection et de sécurité.»
De nouveaux métiers :
La menace, pouvant prendre de nombreuses formes, n’est pas simple à appréhender, si ce n’est à travers une gestion efficiente des risques propres à l’entreprise. «Pendant longtemps, on s’est contenté de répondre à la menace en déployant des outils de protection technologiques. Cela ne suffit plus aujourd’hui.
Une protection efficace, garantissant la continuité du business, doit avant tout s’appuyer sur une meilleure compréhension et gestion du risque, commente Isaak Dayan. D’une entreprise à l’autre, selon la nature de l’activité et des assets digitaux à protéger, les risques seront différents. Une bonne identification des risques et des éléments critiques pour le bon développement de l’activité permet de faire des choix en connaissance de cause.»
Selon les cas, des mesures spécifiques devront être prises. Par ailleurs, certains acteurs accepteront de courir certains risques, parce qu’ils ne mettent pas en péril la bonne marche du business, ou parce que les mesures à prendre pour s’en prémunir sont hors de portée.
«L’enjeu est de parvenir à la meilleure adéquation entre les risques et les mesures de protection envisagées, assure Didier Wasilewski.
C’est un défi à part entière. De nouveaux métiers voient le jour.
On parle de plus en plus de chief information security officer (CISO) ou de data protection officer (DPO). Dans des structures régulées, comme le sont notamment les acteurs du secteur financier, ces fonctions doivent obligatoirement être mises en œuvre.»
Cependant, comme nous l’évoquions, les enjeux de cybersécurité ne concernent pas uniquement les sociétés régulées.
Et si le législateur a tendance à progressivement obliger toutes les entreprises à mieux protéger les données, comme c’est le cas à travers la GDPR (réglementation générale sur la protection des données), il reste difficile de conscientiser des structures dont le cœur de métier est bien éloigné de ces enjeux.
«On constate, d’une entreprise à l’autre, de grandes différences de maturité à l’égard de ces enjeux, commente Didier Wasilewski. Les entités régulées, en effet, ont développé des approches structurées, quand d’autres sociétés, grandes ou petites, qui ne doivent pas répondre à des autorités de contrôle, semblent ne pas avoir suffisamment conscience du risque.»
Confiance et contrôle :
Les petites structures n’ont pas forcément les moyens d’avoir une personne dédiée s’occupant des enjeux de cybersécurité. D’autre part, face à cette menace polymorphe, difficile à appréhender, beaucoup se sentent démunis. Ce n’est cependant pas une raison suffisante pour l’ignorer.
Encore une fois, c’est l’avenir de l’activité qui en dépend. Développer les réponses adéquates n’exige pas forcément d’investir de manière conséquente.Mais il est important qu’un responsable au sein de chaque structure se pose les bonnes questions régulièrement.
Chaque dirigeant devrait, de temps à autre, se demander ce qui se passerait si, du jour au lendemain, ses données ou ses systèmes n’étaient plus disponibles», précise Isaak Dayan. À partir de là, les mesures à prendre sont de nature diverse.
Cela commence le plus souvent par le respect de quelques règles d’hygiène de base : choisir un mot de passe incluant lettres, chiffres, majuscules et minuscules, et des caractères spéciaux est un principe essentiel; ne pas cliquer sur le premier lien reçu par e-mail; éviter d’ouvrir une pièce jointe sans s’être assuré de l’authenticité et de la probité de son expéditeur…
Le rappel régulier de ces quelques éléments permet déjà de se prémunir grandement du risque.
Il y a un réel enjeu de sensibilisation des collaborateurs :
Didier Wasilewski, La confiance n’exclut pas le contrôle, aurait affirmé Vladimir Ilitch Oulianov, Lénine, dans un tout autre contexte, et à une tout autre époque. L’adage, cependant, s’applique bien aux enjeux «cyber» qui nous occupent. «D’une part, il y a un réel enjeu de sensibilisation des collaborateurs.
D’autre part, les responsables de la cybersécurité doivent se doter des moyens de contrôler la manière dont la donnée se diffuse, afin de pouvoir mieux évaluer le risque auquel s’expose l’entreprise, mieux la protéger, précise Didier Wasilewski.
C’est un enjeu de gouvernance. Pour mieux protéger la donnée, il faut savoir comment elle est utilisée, disposer d’une réelle vision des risques.»
Les environnements de travail à partir desquels les employés effectuent leur mission doivent pouvoir être sécurisés. L’accès à l’information doit pouvoir être contrôlé. La donnée doit pouvoir être mieux tracée.
Remise en question permanente :
L’entreprise, si elle veut garantir un réel niveau de maîtrise de l'information, empêchera, dans la mesure du possible, ses employés de recourir à des systèmes publics de partage de l’information, comme Dropbox, Wetransfer, ou encore la suite bureautique proposée par Google.
La sécurité informatique ne doit pas être envisagée aux dépens de la performance ou de toute démarche de digitalisation utile :
Didier Wasilewski, head of sales chez Cegecom «Cependant, la sécurité informatique ne doit pas être envisagée aux dépens de la performance ou de toute démarche de digitalisation utile.
- Si l’on interdit de recourir à des solutions publiques, il faut pouvoir proposer des alternatives valables dans le cadre de l’entreprise, précise Isaak Dayan.
- Si, à travers les outils de l’entreprise, il faut à chaque fois introduire trois tokens pour accéder à la donnée utile, il y a fort à parier que le collaborateur trouvera le moyen de contourner les règles de sécurité établies.
Les solutions à mettre en œuvre doivent donc répondre aux exigences de l’utilisateur.
Entre sécurité, contrôle et performance, il faut trouver la juste balance.» Entre sécurité, contrôle et performance, il faut trouver la juste balance :
Isaak Dayan, De nombreux acteurs, publics et privés, peuvent accompagner les entreprises face à la menace, depuis l’analyse des risques jusqu’à la mise en place de réponses adaptées pour y répondre. «La cybersécurité implique une remise en question permanente.
La menace évolue sans cesse, aussi vite que la technologie.
Une fois une réelle gouvernance des risques établie, au-delà de la sensibilisation des collaborateurs, des mesures techniques peuvent être envisagées.
Des acteurs télécom comme nous peuvent aider leurs clients à disposer d’infrastructures redondantes, à garantir la continuité du business en cas de crise, explique Didier Wasilewski.
Selon les besoins, des solutions adaptées peuvent être trouvées.
En tant que fournisseur de services de connectivité, nous sommes les premiers concernés par ces enjeux.
Nos offres s’adaptent en permanence aux besoins des clients confrontés à de nouveaux risques.»
Des services mutualisés, en outre, voient le jour, pour permettre aux acteurs d’accéder plus facilement aux trop rares, et pourtant de plus en plus nécessaires, compétences en matière de cybersécurité.