Publicité
conférence cybersécurité (Salt Lake Chamber - Flickr)

« La presse traite de cybersécurité sans maîtriser les tenants et aboutissants »

Les baromètres et sondages autour de la cybersécurité se succèdent dans les médias depuis le début de cette année 2019. Et tous prédisent le pire pour les mois à venir. La cybersécurité se veut cependant légèrement plus complexe que la simple lecture de ces quelques chiffres.

« Des cyberattaques de plus en plus nombreuses et performantes » ; « Le risque cyber en tête des préoccupations des entreprises françaises » ; « Une cyberattaque mondiale en prévision selon l’Icaan »… Tous les baromètres et études statistiques liés à la cybersécurité laissent entrevoir le pire depuis le mois de janvier 2019. Consultant en sécurité des systèmes d’information chez CNPP Cybersecurity, Jérémie Fourt a accepté de répondre à nos questions. Une occasion pour l’intéressé de remettre en perspective ce climat médiatique anxiogène autour de la cybersécurité.

Face au Risque. Selon les différents baromètres sur les risques parus depuis le début de l’année 2019, le risque cyber est celui qui inquiète le plus les entreprises françaises. Comment en est-on arrivé à ce constat ?

Jérémie Fourt. La notion de risque est assez contextuelle. Effectivement, le risque cyber est plus considéré que par le passé. Pour autant, aujourd’hui encore, il y a des entreprises pour lesquelles ce risque n’est pas vu comme un enjeu majeur. Cela est typiquement le cas dans l’industrie, qui se concentre davantage sur les risques en matière de santé et sécurité au travail.

Quant au fait de savoir comment on en est arrivé là, c’est assez simple. Ces vingt ou trente dernières années, il y a tout simplement eu une numérisation des méthodes de travail. Ce qui a entraîné l’apparition de nouveaux facteurs de risques. Historiquement, l’utilisation de l’informatique – notamment en entreprise – était beaucoup moins répandue. Aujourd’hui on trouve des ordinateurs dans quasiment toutes les entreprises et tous les corps de métier. Mêmes les usines se mettent à utiliser des objets connectés.

Dans ce contexte-là, les risques numériques sont forcément à prendre en considération. Si on numérise les outils de travail, il y a forcément des risques qui apparaissent au niveau cyber… Auparavant, l’accent était mis essentiellement sur les atteintes à la sécurité physique des personnels. Il fallait faire attention à ne pas se blesser ou éviter les dégâts physiques.

Pour rester sur le cas des entreprises françaises, peut-on considérer qu’elles sont en retard dans le domaine de la cybersécurité ? Ou ne sont-elles en réalité pas plus en retard que leurs homologues étrangères ?

J.F. Je pense que c’est extrêmement lié au contexte et que, d’une entreprise à l’autre, c’est très variable. On peut dire, dans l’idée, qu’il y a trois types d’entreprises. Il y a celles qui, entre guillemets, ne s’intéressent pas du tout au sujet de la cybersécurité car ce n’est pas leur priorité au jour le jour. On retrouve principalement ces entreprises dans le secteur industriel. Ou dans les activités de terrain, assez manuelles, comme sur les chantiers par exemple.

Ensuite, il y a les entreprises qui ont une culture de la sécurité assez récente. Plus orientée business. Dans ce contexte-là, ce sont les clients de ces entreprises qui leur demandent de s’engager davantage dans la cybersécurité. Cela pousse ces entreprises à s’intéresser au sujet. On voit d’ailleurs qu’il y a de plus en plus d’entreprises de services qui cherchent à obtenir des certifications. Notamment la certification ISO/CEI 27 001, car elle leur est demandée spécifiquement par leurs clients.

Le troisième type, ce sont des entreprises qui ont – depuis des années – desenjeux en matière de cybersécurité. Je pense notamment au secteur bancaire ou à des secteurs dans lesquels cette sécurité est culturelle. Ce qu’on voit à ce niveau-là, c’est que l’approche de la sécurité est complètement intégrée aux processus internes de ces entreprises. Donc c’est un sujet qui est vraiment propre au contexte de chaque entreprise.


« Beaucoup d’entreprises se prémunissent à la demande de leurs clients »


Suite à ces différents baromètres liés aux risques cyber, y a-t-il davantage de défiance qu’auparavant auprès de vos clients ?

J.F. Je ne parlerais pas de défiance. On remarque que les entreprises s’intéressent davantage à la cybersécurité qu’auparavant, mais c’est davantage dans un intérêt de business – pour répondre aux besoins de leurs clients – que pour se prémunir des risques. Ce n’est bien évidemment pas tout noir ou tout blanc. Mais je dirais que beaucoup d’entreprises se mettent à se prémunir de ces risques avant tout pour répondre aux attentes de leurs clients.

Dans une actualité plus récente, l’Icaan (l’organisme en charge de l’attribution des adresses internet) parlait « d’attaques sur la structure Internet elle-même » et préconisait un changement rapide d’un protocole DNS vers un protocole DNSEEC. Quelles sont les différences majeures entre ces deux protocoles ?

J.F. Ce qui est amusant à voir, c’est que les médias communiquent de plus en plus sur les sujets de cybersécurité… Sans forcément en maîtriser les tenants et les aboutissants. Si on regarde ce sujet-là sous l’angle des « experts » de la cybersécurité, il n’a pas véritablement