Evolution digitale et protection des données : la cybersécurité peut-elle les concilier ?

La Covid-19 a redistribué les cartes des enjeux des entreprises du monde entier. La sécurité informatique, déjà au centre des préoccupations, est en quelques semaines devenue une priorité absolue. Le télétravail est désormais une norme et la cybersécurité s'est, de fait, imposée comme le cheval de bataille des organisations de toutes tailles et de tous secteurs. Partner et Responsable de la Practice Digitale Europe du Sud et Moyen-Orient chez ISG, Julien Escribe en discute dans son article.

Les CISO (Chief Information Security Officer), ou plus localement les RSSI, ont vu leur rôle évoluer et prendre de l’ampleur, ne serait-ce que pour déplacer les workloads applicatives vers le cloud public… de manière contrôlée. En France, tout particulièrement, la marge de progression est immense, tout autant que la prise de conscience des enjeux colossaux de sécurité que cela doit représenter.

À l’aune d’un retour progressif à une situation sanitaire plus sereine, comment se prémunir des attaques qui surviendront, sachant que peu d’entreprises en ont pleinement les moyens ?

3 phénomènes inéluctables de l’évolution digitale

Le télétravail sera de plus en plus répandu. Plus de télétravail signifie plus de ressources dans le cloud public. Phénomène confirmé par la dernière étude ISG Provider Lens : la demande de services du cloud public dans certaines industries en France a augmenté de 40 % et plus particulièrement pour les services publics essentiels et pour le secteur de la santé. Dans la 3e édition du rapport franco-allemand « Common Situational Picture », l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et son homologue allemand (BSI) font le même constat : nous assistons à une croissance très rapide du niveau de menace cyber en France et en Allemagne. L’explosion des cyberattaques en 2021 coûtera 6.000 milliards de dollars en 2021.[1]

La contrainte de conformité (compliance) dans le processus de transformation numérique du secteur bancassurance : l’utilisation du big data et la protection des données poussent les acteurs à mettre en place de nouvelles normes. Il est d’ailleurs particulièrement intéressant de noter que beaucoup de grands groupes d’assurance ont développé de nouveaux produits « Assurances Cyber ».

La cybermenace : un grand nombre d’entreprises en seront victimes cette année. Selon une étude menée par Proofpoint, 90% des organisations françaises ont été visées par des cyberattaques en 2020. Les entreprises doivent se préparer à affronter de nouveaux types de cyberattaques. Le contexte géopolitique joue aussi un rôle essentiel dans l’apparition des menaces d’états. Le développement du vote électronique génère évidemment de nouveaux risques dans des élections qui voient le bulletin de vote se dématérialiser de plus en plus. Les réactions en deviennent parfois irrationnelles… Par exemple, Chris Krebs, nommé par Donald Trump pour diriger l'Agence de cybersécurité et de sécurité des infrastructures (CISA) il y a deux ans, a été renvoyé par le président, après que ce dernier ait qualifié son élection comme "la plus sûre de l'histoire américaine". 

De quels moyens de protection dispose-t-on ?

1. Comprendre l’évolution du sujet de la protection des données personnelles

L’ANSSI est plutôt en avance sur certains sujets vis-à-vis de ses homologues européens. La France a donc un rôle important à jouer à l’international en matière de sensibilisation à la protection des données.

2021 sera l’année de l’évolution en continu des problématiques de la protection des données personnelles – un sujet sur le long terme qu’il faut continuer à adresser. Les grandes entreprises peuvent encore aujourd’hui se sentir noyées dans les enjeux de RGPD comme il y a quelques années. Consécutivement au Brexit et au recentrage de certains états sur leurs problématiques domestiques, la crainte des risques juridiques a également augmenté.

La mise en place d’une politique de sécurité et des outils ad hoc requiert une expertise spécifique qui sache faire un diagnostic précis pour se déployer et fonctionner efficacement au fil du temps. Dans ce contexte, le SASE (Secure Access Service Edge, terme créé par Gartner) – un concept d’architecture de sécurité et de réseaux fonctionnant via des services cloud - commence à se déployer en tant que nouvelle stratégie de cybersécurité dans le cloud, pour soutenir les besoins d’accès sécurisés des entreprises.

2. Les OIV et OSE : sensibiliser aux exigences gouvernementales

Le contexte géopolitique et les décisions récentes de l’UE vont avoir un impact important sur les politiques de la sécurité informatique. L’ANSSI émet des recommandations à destination des Opérateurs d’Importance Vitale et les Opérateurs de Services Essentiels (télécoms, banques, santé, défense…), vis-à-vis de leurs politiques de cybersécurité. Il faut également souligner le rôle non négligeable de la politique européenne NIS (Network and Information Security), soutenu par l’ANSSI. À titre d’exemple, l’ANSSI a clarifié les politiques d’homologation nécessaires autour des thèmes suivants :

  • la méthode EBIOS Risk Manager ;
  • l’élaboration des tableaux de bord de la SSI ;
  • la cartographie du système d’information  ;
  • les exigences vis-à-vis des prestataires d’audit de la sécurité des systèmes d’information ;
  • la détection des incidents de sécurité ;
  • la réponse aux incidents de sécurité ;
  • la mise en œuvre de systèmes de journalisation

3. Comprendre l’importance du rôle des CISO

Protégeant les assets des entreprises en ayant pleinement conscience des enjeux, ils ont un grand rôle à jouer et beaucoup de pression à gérer. Leur statut a beaucoup évolué par rapport aux années précédentes.

Dans le dernier rapport PwC « 24th Annual Global CEO Survey », on constate que les PDG se disent de plus en plus de plus en plus préoccupés par les cybermenaces, la désinformation et l'incertitude quant à la politique fiscale et aux normes de conformité. Ce sont les CISO qui ont la responsabilité d’adresser  au moins partiellement cette préoccupation récente, mais persistante.

4. Créer des unités spécialisées en cybersécurité, pour accompagner les grandes entreprises en recherche des solutions optimales afin de se préparer contre la cybermenace. Les Pentests (Penetration Testing) servent à reproduire les techniques utilisées par les hackers, pour déceler les failles de sécurité d’une entreprise et y apporter des solutions. Ces prestations existent depuis longtemps, souvent réalisées par des « hackers éthiques ». Beaucoup de grandes entreprises commencent à recruter leur propre « Red Team », ce qui représente un beau challenge humain de recrutement et d’intégration de ces profils très atypiques pour des sociétés du CAC40.

Au-delà des ressources externes dont disposent les entreprises, il est plus que jamais essentiel de garder le niveau d’engagement individuel au centre de la sécurité des données de l’entreprise. La communication interne pour informer, les security labs pour former et tester, la déontologie et la stratégie de terrain pour mieux s’approprier les enjeux et comprendre les spécificités de chaque secteur sont autant de paramètres à intégrer pour faire cohabiter sereinement évolution digitale et cybersécurité.
 

[1] Sources : rapport du Club des juristes : "Le droit pénal à l'épreuve des cyberattaques"