Cyber-sécurité : trouver le juste équilibre entre prévention et culture du risque

Cyber_hackerExtorsion, chantage, usurpation d’identité, dénis de services, blocage de sites ou saturation de serveurs sont devenus les nouvelles menaces des organisations privées mais aussi publics. L’internet, le cloud, les terminaux mobiles, et plus globalement la transformation numérique inéluctable de la société vont encore plus favoriser ces cyber-risques. Ces cyber-menaces imposent à toutes les organisations, collectivités territoriales comprises, de déployer une politique de sécurité, et en premier lieu, une cartographie des risques. De plus, la capacité à démontrer la mise en place de procédures pour anticiper et gérer les incidents s’impose en matière de stratégie de sécurité à mi-chemin entre politique de qualité et culture du risque.

De Sony Pictures au Ministère de la Défense, en passant par la chaîne de télévision France 3, plus récemment, l’actualité le rappelle sans cesse, les cyber-risques sont devenus menaces. Plus de 400 milliards de dollars dérobés en 2014 dans le monde, un chiffre qui pourrait atteindre 3000 milliards d’ici à 2020 selon le Forum économique mondial. Passée à un stade industriel, la cybercriminalité transpose dans le monde électronique les crimes économiques classiques, en les accélérant et les amplifiant. Extorsion, chantage et usurpation d’identité défraient la chronique. Mais ils masquent également d’autres incidents moins médiatiques mais tout aussi dommageables pour les entreprises et les organisations, tels que les dénis de services, le blocage de sites ou la saturation de serveurs. Techniques et discrètes, ces actions délibérées constituent néanmoins un risque critique touchant au cœur de leur activité et de l’économie numérique.

Des mesures conjointes entre le public et le privé

Cependant, les acteurs publics et privés s’activent en misant sur la prévention et la coopération. Les autorités judiciaires françaises et ecarto_cyberuropéennes n’ont de cesse d’enrichir un arsenal législatif très complet. En amont, à l’instar de l’ANSSI, de la CNIL, des centres d’alerte et de réaction aux attaques informatiques (CERT) ou du Conseil de l’Europe, un écosystème d’anticipation et d’information guide les entreprises et les organisations dans l’élaboration d’une politique de sécurité. Tandis que pour la répression, les cyber-policiers traitent un nombre croissant d’affaires.

De nombreuses entreprises ont déjà saisi l’ampleur du risque, mais ce n’est pas le cas de toutes. Ainsi, 47% d’entre elles n’ont encore jamais réalisé d’analyse de sécurité de leur système d’information (SI). Dans le même temps, 25 % des entreprises européennes auraient déjà fait l’objet d’un vol de données. Pour les plus impliquées, les cabinets d’avocats et les départements juridiques élaborent des réponses et constituent des preuves pour poursuivre un cyber-crime… ou se retourner contre un sous-traitant. La responsabilité est aussi un risque.

Un corpus législatif opérationnel mais contraignant

Le parapluie de l’arsenal juridique protège, mais impose en retour une obligation aux organisations de protéger leurs données. La question est brûlante, en particulier pour les dirigeants d’entreprise qui risquent pénalement 5 ans de prison et 300 000 euros d’amende pour une douzaine de délits, dont la négligence ou non-déclaration d’un incident de sécurité. L’internet, le cloud et les terminaux mobiles ont rendu mouvant le périmètre des entreprises et imposent une politique de sécurité, et en premier lieu, une cartographie des risques. En profondeur, la notion d’accountability – soit la capacité à démontrer la mise en place de procédures pour anticiper et gérer les incidents – s’impose en matière de stratégie de sécurité à mi-chemin entre politique de qualité et culture du risque.

Mettre en œuvre les bons processus de sécurité

A l’instar de toute démarche qualité, la politique de sécurité des systèmes d’information (SSI) questionne toute l’organisation et doit, pour réussir, être soutenue au plus haut niveau. Les SI doivent garantir des environnements de qualité avec des logiciels et des applications bien développés, sans bogues, qui sont autant de failles de sécurité potentielles. Les métiers et le juridique doivent vérifier et négocier en amont de chaque contrat que les obligations de sécurité sont respectées. Enfin, un audit régulier des prestataires devient une priorité. Les directions orchestrent le tout et définissent des procédures de sécurité en veillant à ce qu’elles soient intégrées dans les pratiques et les consciences au quotidien. Dans ces conditions, 80 % des cyber-risques peuvent être éliminés.

Informer, sensibiliser, former

« 90% des incidents de sécurité sont d’origine humaine et ne mettent pas en cause l’environnement technique » affirment les experts. C’est pourquoi comme un second volet à la fusée de la sécurité, la sensibilisation et la formation des utilisateurs s’avèrent un enjeu primordial. Qu’il s’agisse du citoyen, du consommateur ou du collaborateur, les pouvoirs publics et les acteurs économiques attendent une prise de conscience individuelle. Dans les entreprises, des solutions techniques légères existent pour sécuriser les pratiques telles que la gestion des identités, l’automatisation de création de comptes avec des autorisations paramétrées ou l’anonymisation des bases de données. Mais l’adhésion de tous à la sécurisation des environnements électroniques va devenir un thème récurrent de communication interne et de formation. L’hygiène informatique doit s’imposer dans les esprits comme l’ont compris les autorités européennes en lançant le Mois européen de la cyber-sécurité.

Informer-former-entrainer

La sécurité au service de l’innovation

Une certitude pour les années à venir : les cyber-risques et les cyber-crimes iront croissant, tout comme la détermination des acteurs publics et privés à lutter contre le phénomène. Le succès de l’économie numérique est à ce prix. Mais seule une culture du risque et de la prévention sera à même de protéger durablement les organisations, les entreprises et les utilisateurs. La sécurité est une valeur d’avenir, et qui saura la garantir en tirera les bénéfices.

Pour aller plus loin, CA Technologies a publié un livre blanc sur les cyber-risques, disponible sur LinkedIn : http://bit.ly/cyber-secu-risk

Source: infoDSI.com

Share Button

Publié par

Patrice-Louis Laya

Avec plus de 35 ans d'expérience dont 10 ans dans le Groupe BASF, 20 ans dans la sphère IBM (Business Partner, Agent, Architecte solution sécurité), et la création en 2005 d'un Pôle dédié à l'infomédiation sur les problématiques du risque majeur et l'architecture des TIC appliquées aux risques majeurs, Patrice-Louis LAYA a été appelé par le HCFDC pour créer et animer ce blog sur la Résilience et la Sauvegarde des territoires au travers de sa structure dédiée au community management et à la communication digitale e-relation Territoriale. Depuis janvier 2012, Patrice LAYA est auditeur de la Session Nationale Résilience et Sécurité Sociétales. Il a par ailleurs, une formation initiale en agronomie, complétée par une maîtrise d'informatique appliquée à la gestion et un DESS en ingénierie de l'innovation. Dialoguer sur Twitter : @iTerritorial - sur Facebook : http://www.facebook.com/Plan.Communal.Sauvegarde Par mail : espace.territorial@online.fr

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*