La cybersécurité, bientôt un réflexe pour les entreprises ?

La 9e édition du Forum international de la Cybercriminalité a eu lieu à Lille les 24 et 25 janvier 2017. A cette occasion, nous avons interviewé son fondateur, le général d’armée Marc Watin Augouard. Ancien inspecteur général des armées-gendarmerie, il a animé un groupe de travail qui a contribué à la rédaction, en 2005, du rapport de Thierry Breton sur la cybercriminalité. Expert dans ce domaine, il revient sur la nécessité pour les entreprises, institutions et collectivités territoriales, de se protéger contre les cyberattaques.

Général Watin Augouard

A la création du FIC, en 2007, parlait-on déjà de cybercriminalité ?

“En janvier 2005, des chefs d’entreprise se réunissaient déjà autour de cette thématique. Comme le nombre de participants augmentait, l’idée d’un forum a germé, soutenue par Jacques Barrot, ancien ministre et ex-commissaire européen. L’aide financière apportée par l’Europe a permis au FIC de se développer à Lille, rapidement complétée par la région, désireuse d’une ambition numérique pour le Nord-Pas-de-Calais. Quand l’Europe ne nous a plus soutenus financièrement, nous nous sommes rapprochés du CEIS, la Compagnie Européenne d’Intelligence Stratégique, coorganisateur depuis 2013.”

Combien de visiteurs se sont rendus sur le salon en 2016 ?

“Près de six mille. Pour cette année, nous avons eu de 4 000 inscrits et 350 entreprises partenaires. La surface d’exposition augmente de 10 % chaque année. En deux jours, le FIC rassemble un salon de l’innovation en matière de cybersécurité, trois plénières et des ateliers. Il devient un rendez-vous institutionnel et un lieu d’échange entre les autorités et les décideurs.”

Comment les entreprises, institutions ou collectivités territoriales prennent-elles le virage de la transformation numérique et ont-elles conscience de la nécessité de se protéger ?

“Tout le monde est sensibilisé aux cyberrisques, mais peut-être davantage pour les autres que pour soi. Il n’y a pas que les grands groupes qui sont touchés ! Une PME sous-traitante peut aussi être cyberattaquée. Les start-up et les PME peuvent être bien plus intéressantes pour un prédateur que des entreprises du CAC 40 qui vont chercher leurs innovations dans ces petites structures ! A mon sens, ce qui pose problème, c’est le manque de prise de conscience de l’accélération du développement de la transformation numérique. Nous passons d’une rupture technologique à une autre. Et cela échappe encore à la capacité de décision des entreprises et des institutions. Le système de formation ne progresse pas aussi vite que le besoin, et je crains que l’on ne soit dépassé.”

Pourquoi ?

“De plus en plus d’universités et de grandes écoles forment à la cybercriminalité, mais on est encore loin du compte, même si des masters se créent pour former des data scientists. La cybercriminalité ne concerne pas uniquement les masters informatiques. On forme une génération qui sera aux commandes dans dix ans sans avoir conscience de l’impact de la transformation numérique. Je suis moi-même enseignant, et j’ai introduit ces notions dans le cursus. L’Union européenne a annoncé qu’en 2020, il manquerait 900 000 emplois dans le numérique, faute de formation adéquate. Oui, le numérique détruit les emplois de faible qualification, mais il en crée de nouveaux.”

Revenons à la prévention au sein des entreprises. Comment peuvent-elles se prémunir des cyberattaques ?

“Il faut casser l’idée que la cybersécurité coûte trop cher. C’est un coût moins important que celui d’une perte de données. La première chose à faire est de former, d’informer et d’associer le personnel. L’expérience montre que des problèmes malveillants peuvent venir par mégarde de l’interne. Chacun contribue à la cybersécurité de l’entreprise. Cela peut paraître évident, mais il ne faut pas insérer une clé USB dont on ignore la provenance ! Il faut avoir une « hygiène informatique » ! Ensuite, l’entreprise doit travailler sur ses données et savoir comment les hiérarchiser. Des données volées, c’est la mort de l’entreprise ! Elle peut aussi utiliser des firewalls, des logiciels de gestion des mots de passe ou recourir à la crypto.”

Et pour les collectivités ?

“Certaines collectivités territoriales se regroupent pour mutualiser leur cybersécurité. On peut aussi rapprocher ce fonctionnement de celui des incubateurs, qui proposent aux start-up un système sécuritaire environnant.”

Dispose-t-on de données chiffrées sur le nombre d’entreprises cyberattaquées ?

“Malheureusement non. Quand elle est attaquée et que ses données sont copiées, l’entreprise ne le sait pas toujours. Et si elle communique, il y a toujours le risque d’une perte de confiance des clients et des fournisseurs. Cependant, les entreprises ont l’obligation légale de déclarer les vols de données à caractère personnel.”

Que penser des objets connectés, devenus incontournables au quotidien ?

“Révolutionnaires dans notre façon d’aborder le quotidien, ces nouveaux objets sont aussi des collecteurs de données personnelles… Certes, il y a un danger pour l’intimité. L’attaque informatique du 21 octobre 2016* aurait transité par des centaines de milliers d’objets connectés. Oui, l’objet connecté peut être source de criminalité. Prenez aussi le cas de l’hébergeur internet OVH, frappé d’une attaque massive en septembre 2016, au travers de plus de 150 00 caméras connectées à distance…”

Une cyberattaque est-elle forcément synonyme de la mort de l’entreprise ?

“La structure qui dispose d’un plan de reprise d’activité peut survivre. Mais quand une entreprise subit une escroquerie au faux virement, elle se fait piller ses liquidités et perd ainsi la confiance de ses clients… J’espère que demain, la cybersécurité d’une entreprise sera perçue comme un avantage de compétitivité et non comme un coût.”

Amandine PINOT pour RésoHebdoEco

www.facebook.com/resohebdoeco

* Une attaque informatique massive a paralysé le Web, essentiellement aux Etats-Unis. De type « déni de service » − saturer un service de connexion pour le rendre inaccessible −, elle a visé plus spécifiquement les services de Domain Name System de l’entreprise Dyn.

> Pour en savoir plus : www.forum-fic.com
LEGENDE PHOTO : FIC janvier 2017 Général Watin Augouard. Le général Marc Watin-Augouard, général d’armée, directeur du centre de recherche de l’EOGN (École des officiers de la gendarmerie nationale), fondateur du FIC (Forum international de la cybercriminalité) et président du CECyF (Centre Expert contre la Cybercriminalité Français).

Le challenge FIC 2016 a encouragé et valorisé les métiers liés au « forensic » et à la lutte informatique défensive
Près de 9 entreprises sur 10 ne jugent pas leur service de cybersécurité optimal. Fin décembre 2016, EY a publié les résultats de son étude annuelle « Global Information Security Survey » (GISS), réalisée entre juin et août 2016 auprès d’un panel de 1 735 répondants de plus de 20 secteurs d’activité. 57 % des répondants déclarent avoir rencontré un incident en matière de cybersécurité, 48 % citent les contrôles de sécurité ou l’architecture comme les grands domaines présentant des vulnérabilités (+34 % par rapport à l’édition 2015). Malgré des investissements conséquents, 86 % des interrogés estiment que leur système d’information ne répond pas pleinement aux besoins de leur organisation en matière de cybersécurité. 55 % déclarent ne pas avoir les moyens d’identifier les vulnérabilités. Si 57 % des répondants considèrent la poursuite des opérations et la reprise après un sinistre comme une priorité élevée, seulement 39 % prévoient d’investir davantage.

 

FIC 2017 Guillaume Tissier DG CEIS
Prévenir en amont pour éviter les cyberattaques.  Directeur général du CEIS, entreprise parisienne de conseil en stratégie et management des risques – et coorganisateur du FIC 2017 –, Guillaume Tissier fournit quelques conseils pour gérer de façon optimale la transformation numérique. Depuis 1997, CEIS accompagne ses clients – acteurs publics, grands groupes et ETI – dans leurs projets de développement grâce à une démarche d’intelligence économique et d’analyse stratégique. Un moment implantée à Euratechnologies avec une entité régionale, la société est aujourd’hui basée à Paris et à Bruxelles, même si « nous travaillons avec plusieurs entreprises des Hauts-de-France » précise Guillaume Tissier. Maîtrise des cyberrisques, management de l’innovation, développement des territoires, audits et conseils de sécurité de l’information…, en plus de ses prestations auprès de clients, CEIS organise des événements dans ses secteurs de prédilection, notamment la défense et la sécurité : Université de la Défense, Security & Defense Day, Forum de Dakar pour la paix et la sécurité, etc. « Nous sommes impliqués dans l’organisation du FIC depuis 2013. Ce salon, véritable plateforme en termes de business, symbolise la synthèse du volet stratégique et opérationnel que propose le CEIS » résume Guillaume Tissier. « Personne n’est à l’abri d’une cyberattaque. Les travaux de sensibilisation de l’ANSSI1 et du gouvernement portent leurs fruits, mais les menaces et la surface d’exposition augmentent. Le numérique est omniprésent ; il y a un côté attractif pour les hackers. C’est donc un vrai défi ; on est encore loin d’une sensibilisation suffisante dans le top management mais aussi auprès des salariés. Dans des situations d’urgence, on peut voir des comportements à risque comme échanger un contrat par mail ou utiliser des mots de passe peu solides… Certes, la sécurité a un coût et toutes les entreprises n’ont pas les moyens de se protéger ,mais la meilleure conduite reste la prévention en amont » explique Guillaume Tissier. Il poursuit : «Quand l’incident arrive, le compromis est difficile entre la nécessité de l’enquête et la reprise de l’activité. Si je peux donner un conseil : dans un premier temps porter plainte, et surtout, déculpabiliser ! Tous les acteurs sont touchés par la transformation numérique ; l’usine du futur est connectée, les données sont vulnérables. Sans refuser le progrès des objets connectés, il faut les accepter en connaissance de cause et en agissant côté technique ». Preuve de cette montée en puissance du numérique, les collectivités sont plus nombreuses dans les allées du FIC.

Agence Nationale de la Sécurité des Systèmes d’Information.

 

Qu'en pensez-vous ?

Votre adresse e-mail ne sera pas publiée.

Depuis 1973, d’abord sous format magazine, puis via son site, Hérault Tribune informe le public des événements qui se produisent dans le grand Agathois, le Biterrois et le bassin de Thau.

Depuis 1895, l’Hérault Juridique & Economique traite l’économie, le droit et la culture dans son hebdomadaire papier, puis via son site Internet. Il contribue au développement sécurisé de l’économie locale en publiant les annonces légales.