En collaboration avec François Vergez, Directeur au sein de l’activité IT Risk.
Il y a un peu plus de vingt ans, une équipe de chercheurs du National Center for Supercomputing Applications (NCSA) de l’Université de l’Illinois lançait le tout premier navigateur de l’histoire du Web. Difficile d’imaginer qu’à l’époque la toile ne comptait pas plus de 200 sites. Depuis, plusieurs vagues de transformation digitale ont déferlé sur nos vies, changeant jusqu’à notre façon de penser, communiquer et consommer.
A tout instant, il est ainsi possible d’accéder à une information depuis le monde entier, d’envoyer un e-mail à ses collègues, clients ou amis, ou bien encore de faire ses courses depuis son ordinateur, son mobile ou sa tablette. Autant d’évolutions qui se sont vu solder par d’importants changements de comportements de nos clients. Si les entreprises ont pris la mesure de ces ruptures, toutes ne sont pas égales en matière d’adaptation. Certaines ont su faire preuve d’agilité et s’insérer dans la vague des différentes innovations technologiques qui ont jalonné la dernière décennie : dématérialisation, banque en ligne, télé-procédures, télé-administration, signature électronique, archivage électronique, commerce en ligne, etc.
Aujourd’hui les premiers signes annonciateurs du prochain tsunami numérique sont déjà perceptibles. Les nouveaux usages des réseaux sociaux arrivent sur le devant de la scène tandis que le Cloud Computing et la Big Data occupent déjà le terrain. Pour les entreprises pionnières de ces secteurs, il y a là de belles opportunités à saisir. Mais qui dit opportunités dit aussi risques, et certaines organisations qui n’ont pas suffisamment sécurisé leurs systèmes d’information en font aujourd’hui les frais.
Face au piratage, aucun système n’est totalement insubmersible
En dépit d’une certaine prise de conscience des risques et des conséquences de la cybercriminalité, nombreuses sont les entreprises qui n’ont toujours pas cerné l’ampleur des risques associés aux mutations qui ont cours dans l’écosystème numérique. Aucun système, aussi performant soit-il, n’est « hacker-proof ». De la NSA aux entreprises du CAC 40, en passant par la PME régionale, tout le monde est logé à la même enseigne. Un phénomène d’une ampleur telle qu’il s’est même invité à la table des discussions du Forum économique mondial qui chiffre les pertes pour l’économie mondiale à 2 200 milliards d’euros d’ici à 2020.
La question n’est donc pas de savoir si vous serez victime d’une cyber-agression, car vous le serez forcément, mais plutôt de savoir comment vous vous y serez préparé.
Faites rimer sécurité et proactivité
L’ennemi absolu du Responsable de la Sécurité des Systèmes d’Information (RSSI) est la confiance excessive qu’il place dans son dispositif de sécurité. Les firewalls, les antivirus, les systèmes de prévention et de détection des intrusions sont de moins en moins efficaces face aux ressources inépuisables des hackers en matière de piratage. Souvent, les attaques les plus sournoises ne sont pas forcément celles auxquelles on pense. Si les agressions éclair qui consistent à pénétrer furtivement dans un système pour en voler les données et repartir aussi vite continuent de faire grand bruit. Bien plus insidieuses sont celles qui s’inscrivent dans la durée, permettant de siphonner durablement les travaux d’un département R&D ou encore les documents stratégiques d’un pôle marketing ou commercial sans que nul ne s’en aperçoive.
Répondre à ces nouvelles menaces implique un changement de posture important. Il faut agir non plus comme la lance à incendie qui éteint l’incendie, mais plutôt comme le détecteur de fumée qui permettra d’intervenir avant que le feu ne se propage. Et pour cela, il n’y a pas de secrets, il est nécessaire de se doter des moyens qui vous permettront d’accroître vos capacités à capter les signaux faibles, comprendre et identifier l’origine de vos attaques et faire preuve de proactivité. Cela peut passer par la mise en œuvre d’une réelle cyber-intelligence, d’une cartographie des risques et d’une estimation du niveau d’exposition aux cyber-attaques.
Quelle place pour le RSSI ?
Face aux cyber-menaces, le RSSI doit dépasser les exigences de conformité et de standards de gestion du risque pour mettre en place une cyber-stratégie et une cyber-défense exemplaires, en s’appuyant sur quatre grands piliers : préparer, répondre, recouvrer et défendre. Au vu de l’importance des enjeux, ces missions exigent des réponses élaborées en partenariat avec la Direction Générale et les métiers et la DSI.
Si vous souhaitez échanger sur les outils à mettre en place pour renforcer vos dispositifs de sécurité, n’hésitez pas à nous contacter.