Cybersécurité : Y-a-t-il un pilote dans l’avion ?

360 240 kxiop

Eté 2014. L’un de nos clients nous appelle pour une mission urgente : il vient de reprendre un projet, lancé 6 mois plus tôt, dont le budget a déjà été multiplié par 20, et dont le planning ne cesse de dériver. Il s’agit d’organiser la riposte à une attaque de type APT (Advanced Persistent Threat), et ce qui était initialement vu comme une « manip’ informatique » va vite se transformer en un véritable projet d’entreprise, pour sécuriser l’ensemble du système d’information.

Quand je parle de cybersécurité aujourd’hui, le slogan qui me vient en tête est celui d’une autre sécurité, routière en l’occurrence : « tous concernés, tous responsables ».

Tous concernés

Rares sont les entreprises, aujourd’hui, qui passent volontairement à côté de la vague digitale. Les opportunités de création de valeur ou de réduction des coûts paraissent inépuisables.  Mais quand on essaye de se remémorer les piliers de l’industrie 4.0, on cite souvent le big data, l’impression 3D ou l’internet des objets et la cybersécurité vous reste au mieux sur le bout de la langue.

Est-ce que les OIV (opérateurs d’importance vitale, soit 250 entreprises jugées essentielles au bon fonctionnement du pays), seraient les seuls concernés ? On peut douter que l’usine de Royal Canin, mise hors service pendant une semaine en mai 2017 par le rançongiciel Wannacry, en fasse partie.

Et sans parler de sécurité nationale, l’impact pour les entreprises concernées peut se révéler désastreux : déni de service et arrêt de la production dans le meilleur des cas, vols de données confidentielles et autres secrets industriels dans le pire. Saint Gobain reconnaissait ainsi 250 M€ de manque à gagner en 2017 du fait des cyberattaques. Sans parler de l’impact sur l’image, en particulier pour les entreprises qui gèrent des données personnelles de clients.

Tous responsables

Si la prise de conscience des risques grandit à mesure que la fréquence et la portée des attaques s’intensifie (+140% entre 2013 et 2016), beaucoup considèrent encore la cybersécurité comme une affaire de spécialistes : renforcer la protection périmétrique, cloisonner les réseaux, sécuriser l’administration des systèmes, appliquer les correctifs de sécurité sur l’ensemble des postes… Difficile pour l’utilisateur lambda de se sentir concerné.

Et c’est pourtant au cœur du sujet, car les comportements individuels sont souvent à l’origine des failles de sécurité et des attaques qui en découlent. L’ANSSI (agence nationale de sécurité des systèmes d’information) ne s’y trompe pas, et a ainsi lancé des campagnes de sensibilisation « Tous responsables d’un futur numérique sécurisé ».

Ainsi chaque entreprise doit s’interroger, dans le cadre de sa digitalisation, sur la manière de gérer sa sécurité informatique : quels sont les risques, quelles sont les solutions, jusqu’où doit-on aller, par où commencer, et comment impliquer tout le monde ? La réponse à l’ensemble de ses questions ne pouvant être fournie que par un véritable projet d’entreprise, structuré comme tel et piloté avec des spécialistes… du pilotage de projet !

A propos de l’auteur

Jean Roptin est un des associés du cabinet Kxiop qu’il a rejoint en 2003. Jean intervient régulièrement sur des opérations de création de valeur, de développement de produits innovants et de sécurisation de projet auprès de responsables de grands groupes comme de dirigeants de PME. Depuis 2014, il accompagne notamment la définition et la mise en œuvre d’un vaste programme de cybersécurité d’un grand groupe.