Cybersécurité et transformation numérique
La crainte des cyberattaques fait son chemin dans l’esprit des entreprises. Mais les questions restent nombreuses pour les organisations engagées dans leur transformation numérique
2017 fut l’année de cyberattaques retentissantes telles que Wannacry ou NotPetya. 2018 sera-t-elle celle de la cybersécurité ? Très certainement. La transformation numérique étant devenue inéluctable, il convient désormais de la concilier avec la cybersécurité pour maîtriser les risques et maintenir la confiance des utilisateurs. D’autant que le RGPD impose aux organisations de protéger les données personnelles sous peine de lourdes sanctions. Cependant, des problèmes financiers et humains subsistent.
Les cyberattaques mondiales de 2017, comme celles qui ont utilisé les ransomwares Wannacry ou NotPetya, ont eu l’effet d’un électrochoc. Elles ont démontré que toute faille informatique avait des conséquences néfastes pour les organisations et qu’elles ne connaissaient pas de frontières. “Le monde est de plus en plus interconnecté, ce qui accroît la surface d’attaque informatique”,
explique David Boucher, directeur cybersécurité de Hub One. Des incidents qui ont permis aux organisations de prendre conscience des risques qu’implique la digitalisation. Concilier transformation numérique et cybersécurité s’avère désormais
indispensable. “Il ne peut y avoir de transformation numérique sans sécurité : les deux devront aller de pair car les services numériques sont devenus essentiels au quotidien, sans même que nous nous en rendions compte”, confirme Hervé Debar, professeur à Télécom SudParis. “La cybersécurité est l’un des piliers de transformation numérique, au même titre que le big data et l’intelligence artificielle. Ces trois domaines sont corrélés”, affirme Emmanuel Germain, directeur général adjoint de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), pour qui la cybersécurité se résume en trois mots : “défendre, prévenir et sensibiliser”. “La cybersécurité ne doit pas être considérée comme une contrainte, mais comme un outil stratégique”, confirme Tanguy de Coatpont, directeur général France de Kaspersky Lab. Une sécurité qui se heurte parfois à la vitesse impressionnante de la transition digitale des organisations. “La rapidité de la transformation numérique est importante, mais elle ne doit pas se faire au détriment de la sécurité, car les conséquences peuvent être dramatiques tant financièrement qu’en termes d’image de marque” estime Tanguy
de Coatpont.
Une approchepp gglobale de la cybersécurité
Pour éviter le risque systémique que constitue une cyberattaque, tous les professionnels reconnaissent qu’une approche inclusive de la cybersécurité s’impose. “Cela consiste à savoir regarder en permanence le mouvement, à procéder à des études de risque et des analyses d’écart, à mettre en place une bonne gouvernance et intégrer la ‘security by design’, c’està-dire dès la conception de la nouvelle technologie”, explique Loïc Guézo, cybersecurity strategist chez Trend
Micro. “Cette approche inclusive, mise en place dès le début, est moins coûteuse que de procéder à une remise à niveau après une attaque”, insiste Tanguy de
Coatpont. “Les architectures informatiques doivent être repensées, les fournisseurs de logiciels doivent intégrer cette sécurité par défaut et les objets connectés doivent être sécurisés. Cela constitue un plan de défense en profondeur permettant de limiter les cyberattaques”, estime David Boucher. “Il convient en premier lieu de respecter l’hygiène informatique de base ; et en second lieu, d’éviter le syndrome de l’aveugle et du paralytique, autrement dit l’attitude qui consiste à ne pas voir les risques et à ne pas pouvoir
réagir et reprendre l’activité”, insiste Jean-Claude Laroche, président du cercle cybersécurité du réseau Cigref. Jacques Sebag, président de l’éditeur DenyAll, estime pour sa part qu’il convient de simplifier les solutions informatiques, de mettre en place une sécurité proactive plutôt que réactive, et de développer la cyber-résilience des organisations. Une cyber-résilience qui se caractérise par la capacité de robustesse d’une entreprise face aux attaques, et à sa capacité de redémarrer son activité. “Cela consiste à allier la carapace du rhinocéros à la souplesse d’un félin”, explique Mathieu Benassar directeur des opérations d’Harmonie Technologie, cabinet de conseil en cyber-risques, qui poursuit: “il est essentiel de mettre en place un plan de continuité de l’activité, d’avoir la capacité de répondre à des incidents et de disposer d’un système technologique comprenant de l’intelligence artificielle qui gérera les informations”. La profession mise également sur la sensibilisation de tous les acteurs. “La sensibilisation est primordiale car la menace est sous-évaluée”, déclare Emmanuel Germain, qui rappelle que 80 % des attaques ont été permises par des défaillances humaines.
“L’humain fait partie des lignes de défense. Les employés doivent bien comprendre les enjeux afin de ne plus être considérés comme le maillon faible”, indique David Boucher. Jacques Sebag insiste sur la sensibilisation des directions générales: “ce sont elles qui prennent les décisions”. Une sensibilisation qui concerne également le public. “La cybersécurité consiste également à créer un espace numérique de
La cybersécurité est une condition intrinsèque de la transformation numérique sans laquelle il n’existe pas d’opportunités pour les organisations