2024 année olympique, profitons-en pour faire plus et mieux dans la cybersécurité !
Une tendance de fond se dessine : pas une étude qui ne classe la cybersécurité dans le top 3 des investissements IT ou des priorités pour les décideurs. Et pourtant, beaucoup reste à faire…
La sécurité doit être au cœur des priorités des organisations. Et ce n’est pas les DSI qui diront le contraire. Sécurité des données clients, sécurité de l’hébergement, du stockage et des sauvegardes des données de l’entreprise, sécurité de l’information avec la protection des services et solutions SaaS d’un éditeur par exemple.
A l’occasion des Assises de la sécurité à Monaco, le directeur général de l’ANSSI, Vincent Strubel, a rappelé l’étendue des risques et le large éventail d’organisations menacées : TPE, PME, grands groupes, établissements publics, hôpitaux, collectivités locales… Aucune organisation n’est à l’abri. L’enjeu est devenu sociétal. Et la tendance de fond se dessine : pas une étude qui ne classe la cybersécurité(1) dans le top 3 des investissements IT ou des priorités pour les décideurs. Et pourtant, beaucoup reste à faire…
Une accélération des risques
La sécurité est essentielle. C’est l’une des missions cardinales des directeurs des systèmes d’information. Sécuriser les processus opérationnels ou techniques, garantir l’intégrité de l’information, la conformité, la traçabilité et permettre la résilience de l’activité… Essentiel ! Surtout que le monde change vite. Les professionnels de l’IT, et les autres directions métier, sont bousculés par les usages digitaux et l’accélération des risques : fuite de données, catastrophe naturelle, arrêt des serveurs. Bousculés aussi par les évolutions réglementaires et les protocoles de conformité à respecter ; bousculés également par l’explosion des cyber attaques et de la fraude ciblée contre les organisations(2).
Dans un monde où le risque est croissant et la menace de cyber attaque plus que réelle, impossible de faire sans les normes internationales de sécurité. Ces normes certifient d’un haut niveau de compréhension, de gestion et donc de protection. Elles protègent les organisations des attaques grâce aux derniers standards de sécurité – sans oublier les bonnes pratiques – mis à jour et contrôlés par des auditeurs indépendants. Ces normes sont indissociables des démarches d’amélioration continue des entreprises pour garantir les protocoles, les auditer, les renforcer, les tester. En 2024, année olympique où le monde aura les yeux rivés sur la France et qui sera d’autant plus une cible, difficile de faire sans ces normes internationales de sécurité tant elles sont incontournables pour protéger tout à la fois clients, fournisseurs, et collaborateurs.
Penser global pour un maximum de sécurité ?
Et pourtant… beaucoup d’organisation font le choix d’une sécurité a minima sur l’infra, ou le support ou une partie de leurs solutions SaaS. Ces dernières pèchent dans l’absence de vision sécurité ‘globale’ sur l’ensemble du scope : usages, utilisateurs, fournisseurs, exploitation, développement, supports et services SaaS. Ce qui pose question à l’heure de la montée en puissance des écosystèmes digitaux en réseau et de l’économie ‘as a service’. Qui peut accepter de telles zones d’ombre aujourd’hui ?
La sécurité de l’information : une passoire ?
Ne pas adopter de vision globale, ne pas appliquer les protocoles de sécurité sur l’ensemble de la chaine de valeur d’une solution ou d’un service SaaS… c’est disposer d’une sécurité partielle et in fine ne pas garantir à ses clients le niveau de sécurité maximum.
Aussi incroyable que cela puisse paraître : seule une poignée d’acteurs de la tech et de l’IT en France sont certifiés sur la dernière version ISO 27001:2022 ; seule et unique version intégrant nativement la cyber sécurité.
La norme internationale ISO 27001 garantit le niveau de sécurité et la maturité de l'organisation grâce à son système de management de sécurité de l’information (SMSI). Ce dernier valide la bonne gestion des risques liés à la sécurité des données à travers des bonnes pratiques qui sont sans cesse challengées pour être améliorées.
Aussi surprenant soit-il, encore trop peu d’acteurs sont certifiés sur la sécurité de l’information.
La prise de conscience s’accélère. La bascule du printemps 2020(3) – pendant la pandémie Covid-19 – qui a vu l’explosion des attaques de phishing en direction des collaborateurs en télétravail a fait comprendre l’ampleur des menaces. Mais la cybersécurité est encore considérée comme un sujet au mieux technique pour nombre d’entreprises (TPE et PME principalement). On peut le regretter, la cyber sécurité n’est pas encore l’affaire de tous. Près d’une entreprise sur deux n’a pas défini de politique de cyber sécurité(4). Et moins de 1300 entreprises françaises, tous secteurs confondus, sont certifiées ISO 27001 version 2013.
Il y a urgence à muscler les dispositifs
Pourtant, l’actualité nous rappelle régulièrement que les attaques sont bien réelles : fuites de données en entreprise(5), attaques informatiques contre les hôpitaux(6). Les failles existent. Et il suffit d’une seule fois pour ruiner la réputation ou la santé financière d’une organisation.
Dans un contexte de dématérialisation des échanges et d’accélération des cyber-attaques et du risque de fraude, les organisations et, en particulier, les éditeurs SaaS doivent prendre la mesure du risque pour leurs activités, leurs clients et bien plus encore. Car l’enjeu est sociétal. Tous doivent muscler leurs dispositifs et se hisser au niveau des normes internationales de sécurité les plus élevées. Et les éditeurs de logiciels SaaS doivent assumer leur rôle de leader et de modèle sur le sujet.
L'alignement continu de l’ensemble de l’entreprise – et ceci à tous les niveaux de métier et de hiérarchie – sur la compréhension et l’application des bonnes pratiques de sécurité est clé. Communiquer, expliquer, former, sensibiliser, évaluer les collaborateurs au risque cyber est fondamental. Plus aucun chef d’entreprise ne peut dire "je ne savais pas". Faire mieux et plus… c’est se tenir prêt, adopter une vision globale du risque, inclure l’ensemble des équipes et faire face aux cybermenaces. Des attaques qui augmentent en nombre, et en sophistication pour des motifs de plus en plus variés : de la simple curiosité (le film Wargames vient d’avoir 40 ans) à la malveillance en passant par le grand banditisme ou la déstabilisation politique. La lutte contre ce fléau n’est plus une option. Faisons un rêve : 2024, année olympique, ne sera ni un tremplin ni un podium pour les pirates…
(1) Gartner anticipe que les dépenses en matière de gestion des risques et de cybersécurité en 2024 vont s'envoler avec une progression de 16 % pour atteindre 56 Md$ en Europe (novembre 2023).
(2) Baromètre 2023 DFCG & Allianz Trade
(3) Rapport du Sénat – La cybersécurité des entreprises
(4) Sondage Ipsos pour Cisco (2022).
(5) Vol de données chez Airbus. Un pirate informatique a récupéré les contacts de 3200 fournisseurs du géant européen de l'aéronautique après avoir infecté l'ordinateur d'un employé (septembre 2023).
(6) Cyber attaque contre le groupe hospitalier fondation Vincent de Paul à Strasbourg (septembre 2023).