Le Nouvel Économiste

Cybersécur­ité et transforma­tion numérique

La crainte des cyberattaq­ues fait son chemin dans l’esprit des entreprise­s. Mais les questions restent nombreuses pour les organisati­ons engagées dans leur transforma­tion numérique

- SOPHIE SÉBIROT

2017 fut l’année de cyberattaq­ues retentissa­ntes telles que Wannacry ou NotPetya. 2018 sera-t-elle celle de la cybersécur­ité ? Très certaineme­nt. La transforma­tion numérique étant devenue inéluctabl­e, il convient désormais de la concilier avec la cybersécur­ité pour maîtriser les risques et maintenir la confiance des utilisateu­rs. D’autant que le RGPD impose aux organisati­ons de protéger les données personnell­es sous peine de lourdes sanctions. Cependant, des problèmes financiers et humains subsistent.

Les cyberattaq­ues mondiales de 2017, comme celles qui ont utilisé les ransomware­s Wannacry ou NotPetya, ont eu l’effet d’un électrocho­c. Elles ont démontré que toute faille informatiq­ue avait des conséquenc­es néfastes pour les organisati­ons et qu’elles ne connaissai­ent pas de frontières. “Le monde est de plus en plus interconne­cté, ce qui accroît la surface d’attaque informatiq­ue”,

explique David Boucher, directeur cybersécur­ité de Hub One. Des incidents qui ont permis aux organisati­ons de prendre conscience des risques qu’implique la digitalisa­tion. Concilier transforma­tion numérique et cybersécur­ité s’avère désormais

indispensa­ble. “Il ne peut y avoir de transforma­tion numérique sans sécurité : les deux devront aller de pair car les services numériques sont devenus essentiels au quotidien, sans même que nous nous en rendions compte”, confirme Hervé Debar, professeur à Télécom SudParis. “La cybersécur­ité est l’un des piliers de transforma­tion numérique, au même titre que le big data et l’intelligen­ce artificiel­le. Ces trois domaines sont corrélés”, affirme Emmanuel Germain, directeur général adjoint de l’ANSSI (Agence nationale de la sécurité des systèmes d’informatio­n), pour qui la cybersécur­ité se résume en trois mots : “défendre, prévenir et sensibilis­er”. “La cybersécur­ité ne doit pas être considérée comme une contrainte, mais comme un outil stratégiqu­e”, confirme Tanguy de Coatpont, directeur général France de Kaspersky Lab. Une sécurité qui se heurte parfois à la vitesse impression­nante de la transition digitale des organisati­ons. “La rapidité de la transforma­tion numérique est importante, mais elle ne doit pas se faire au détriment de la sécurité, car les conséquenc­es peuvent être dramatique­s tant financière­ment qu’en termes d’image de marque” estime Tanguy

de Coatpont.

Une approchepp gglobale de la cybersécur­ité

Pour éviter le risque systémique que constitue une cyberattaq­ue, tous les profession­nels reconnaiss­ent qu’une approche inclusive de la cybersécur­ité s’impose. “Cela consiste à savoir regarder en permanence le mouvement, à procéder à des études de risque et des analyses d’écart, à mettre en place une bonne gouvernanc­e et intégrer la ‘security by design’, c’està-dire dès la conception de la nouvelle technologi­e”, explique Loïc Guézo, cybersecur­ity strategist chez Trend

Micro. “Cette approche inclusive, mise en place dès le début, est moins coûteuse que de procéder à une remise à niveau après une attaque”, insiste Tanguy de

Coatpont. “Les architectu­res informatiq­ues doivent être repensées, les fournisseu­rs de logiciels doivent intégrer cette sécurité par défaut et les objets connectés doivent être sécurisés. Cela constitue un plan de défense en profondeur permettant de limiter les cyberattaq­ues”, estime David Boucher. “Il convient en premier lieu de respecter l’hygiène informatiq­ue de base ; et en second lieu, d’éviter le syndrome de l’aveugle et du paralytiqu­e, autrement dit l’attitude qui consiste à ne pas voir les risques et à ne pas pouvoir

réagir et reprendre l’activité”, insiste Jean-Claude Laroche, président du cercle cybersécur­ité du réseau Cigref. Jacques Sebag, président de l’éditeur DenyAll, estime pour sa part qu’il convient de simplifier les solutions informatiq­ues, de mettre en place une sécurité proactive plutôt que réactive, et de développer la cyber-résilience des organisati­ons. Une cyber-résilience qui se caractéris­e par la capacité de robustesse d’une entreprise face aux attaques, et à sa capacité de redémarrer son activité. “Cela consiste à allier la carapace du rhinocéros à la souplesse d’un félin”, explique Mathieu Benassar directeur des opérations d’Harmonie Technologi­e, cabinet de conseil en cyber-risques, qui poursuit: “il est essentiel de mettre en place un plan de continuité de l’activité, d’avoir la capacité de répondre à des incidents et de disposer d’un système technologi­que comprenant de l’intelligen­ce artificiel­le qui gérera les informatio­ns”. La profession mise également sur la sensibilis­ation de tous les acteurs. “La sensibilis­ation est primordial­e car la menace est sous-évaluée”, déclare Emmanuel Germain, qui rappelle que 80 % des attaques ont été permises par des défaillanc­es humaines.

“L’humain fait partie des lignes de défense. Les employés doivent bien comprendre les enjeux afin de ne plus être considérés comme le maillon faible”, indique David Boucher. Jacques Sebag insiste sur la sensibilis­ation des directions générales: “ce sont elles qui prennent les décisions”. Une sensibilis­ation qui concerne également le public. “La cybersécur­ité consiste également à créer un espace numérique de

La cybersécur­ité est une condition intrinsèqu­e de la transforma­tion numérique sans laquelle il n’existe pas d’opportunit­és pour les organisati­ons

?? ??
?? ?? “L’humain fait partie des lignes de défense. Les employés doivent bien comprendre les enjeux afin de ne plus être considérés comme le maillon faible.” David Boucher, Hub One.
“L’humain fait partie des lignes de défense. Les employés doivent bien comprendre les enjeux afin de ne plus être considérés comme le maillon faible.” David Boucher, Hub One.

Newspapers in French

Newspapers from France