Publicité

conférence cybersécurité (Salt Lake Chamber - Flickr)

“La presse traite de cybersécurité sans maîtriser les tenants et aboutissants”

Les baromètres et sondages autour de la cybersécurité se succèdent dans les médias depuis le début de cette année 2019. Et tous prédisent le pire pour les mois à venir. La cybersécurité se veut cependant légèrement plus complexe que la simple lecture de ces quelques chiffres.

« Des cyberattaques de plus en plus nombreuses et performantes » ; « Le risque cyber en tête des préoccupations des entreprises françaises » ; « Une cyberattaque mondiale en prévision selon l’Icaan »… Tous les baromètres et études statistiques liés à la cybersécurité laissent entrevoir le pire depuis le mois de janvier 2019. Consultant en sécurité des systèmes d’information chez CNPP Cybersécurity, Jérémie Fourt a accepté de répondre à nos questions. Une occasion pour l’intéressé de remettre en perspective ce climat médiatique anxiogène autour de la cybersécurité.

Face au Risque. Selon les différents baromètres sur les risques parus depuis le début de l’année 2019, le risque cyber est celui qui inquiète le plus les entreprises françaises. Comment en est-on arrivé à ce constat ?

Jérémie Fourt. La notion de risque est assez contextuelle. Effectivement, le risque cyber augmente de plus en plus. Mais il y a pour autant des entreprises pour lesquelles ce risque n’est pas adressé. Cela est typiquement le cas dans l’industrie.

Quant au fait de savoir comment on en est arrivé là, c’est assez simple. Ces vingt ou trente dernières années, il y a tout simplement eu une numérisation des méthodes de travail. Contrairement aux époques précédentes, où l’utilisation de l’informatique n’était pas du tout répandue, aujourd’hui on trouve des ordinateurs dans quasiment toutes les entreprises et tous les corps de métier. Mêmes les outils et les systèmes industriels sont de plus en plus connectés.

Dans ce contexte-là, les risques sont forcément à prendre en considération. Si on numérise les outils de travail, il y a forcément de nouveaux risques qui apparaissent au niveau cyber… Auparavant, l’accent était mis essentiellement sur les atteintes à la sécurité physique des personnels. Il fallait faire attention à ne pas se blesser ou éviter les dégâts physiques.

Pour rester sur le cas des entreprises françaises, peut-on considérer qu’elles sont en retard dans le domaine de la cybersécurité ? Ou ne sont-elles en réalité pas plus en retard que leurs homologues étrangères ?

J.F. Je pense que c’est extrêmement lié au contexte et que, d’une entreprise à l’autre, c’est très variable. On peut dire, grosso modo, qu’il y a trois types d’entreprises. Il y a celles qui, entre guillemets, ne s’intéressent pas du tout au sujet de la cybersécurité car ce n’est pas leur priorité au jour le jour. On retrouve principalement ces entreprises dans le secteur industriel. Ou dans les activités de terrain, assez manuelles, comme sur les chantiers par exemple.

Ensuite, il y a les entreprises qui ont une culture de la sécurité assez récente. Et qui est plus d’un point de vue business. C’est-à-dire que ce sont leurs clients qui leur demandent de s’engager davantage dans la cybersécurité. Dans ce contexte-là, elles se mettent à s’intéresser à ces sujets. On voit d’ailleurs qu’il y a de plus en plus d’entreprises de services qui cherchent à obtenir des certifications. Notamment la certification ISO/CEI 27 001, car elle leur est demandée spécifiquement par leurs clients.

Le troisième type, ce sont des entreprises qui ont – depuis des années – des problématiques de cybersécurité. Je pense notamment au secteur bancaire ou à des secteurs dans lesquels cette sécurité est culturelle. Ce qu’on voit à ce niveau-là, c’est que l’approche de la sécurité est complètement intégrée au processus interne de ces entreprises. Donc c’est un sujet qui est vraiment propre au contexte de chaque entreprise.


“Beaucoup d’entreprises se prémunissent à la demande de leurs clients”


Suite à ces différents baromètres liés aux risques cyber, y a-t-il davantage de défiance qu’auparavant auprès de vos clients ?

J.F. Non. Je ne parlerais pas de défiance. On remarque que les entreprises s’intéressent davantage à la cybersécurité, mais c’est davantage dans un intérêt de business – pour répondre aux besoins de leurs clients – que pour se prémunir des risques. Ce n’est bien évidemment pas tout noir ou tout blanc. C’est un peu des deux. Mais beaucoup d’entreprises se mettent à se prémunir de ces risques avant tout pour répondre aux demandes des clients.

Dans une actualité plus récente, l’Icaan (l’organisme en charge de l’attribution des adresses internet) parlait « d’attaques sur la structure Internet elle-même » et préconisait un changement rapide d’un protocole DNS vers un protocole DNSEEC.

J.F. Ce qui est amusant à voir, c’est que les médias communiquent de plus en plus sur les sujets de cybersécurité… Sans forcément en maîtriser les tenants et les aboutissants. Si on regarde ce sujet-là sous l’angle des « experts » de la cybersécurité, il n’a pas véritablement été abordé. Contrairement à ces dernières années, les grands médias se mettent à parler de cybersécurité et le grand public s’y intéresse de plus en plus. Mais, en l’occurrence, les sujets qui intéressent le public – et la façon dont ils sont traités par les médias – ne correspondent pas à la réalité du terrain. En tout cas, cela ne correspond pas à ce que vivent les personnes qui travaillent dans le milieu de la cybersécurité.


“Les médias ont trop souvent tendance à faire de la surenchère”


Justement, quelles différences voyez-vous entre le traitement médiatique et votre quotidien sur le terrain ?

J.F. Ce qu’on observe, c’est qu’il y a des entreprises qui sont concernées par la sécurité car elles risquent de ressentir un impact énorme en cas de faille. Je pense une fois de plus au secteur bancaire. Ces entreprises font des scans de vulnérabilité sur des fréquences trimestrielles. Voire mensuelles pour certaines. Les configurations sont gérées de bout en bout. Toute la chaîne informatique doit être maîtrisée. D’une entreprise à l’autre, ces pratiques sont variables.

Dans le traitement médiatique, trop souvent, un média tombe sur une annonce de cybersécurité et va en parler. Les autres médias, voyant cette annonce après coup, vont avoir tendance à faire de la surenchère. Finalement, on se retrouve à avoir peur d’une épidémie de peste alors qu’en réalité c’est totalement anecdotique. Cela ne veut pas dire qu’il n’y a pas de vrais sujets traités dans les médias. On voit l’exemple avec WannaCry. De nombreuses entreprises françaises comme Renault se sont retrouvées « à l’arrêt » à cause d’une attaque informatique. Cela a entraîné un basculement de la sphère médiatique qui, avant, ne s’intéressait pas spécialement à l’informatique.

Dès que l’on voit que de grandes entreprises, des pontes de la société, ne peuvent pas tourner à cause de problèmes informatiques, cela contribue à ce que la sphère médiatique s’empare du sujet et en parle. En revanche, le sujet sur l’Icaan… Je ne comprends pas pourquoi on en a parlé plus que de raison dans les médias.

Quelles solutions existent pour se prémunir d’une cyberattaque ? D’un point de vue d’un particulier et de celui d’une entreprise.

J.F. Ce qu’il faut bien voir, c’est qu’un particulier et une entreprise ne vont pas se prémunir d’un même risque ou des mêmes auteurs d’attaques. Typiquement, un particulier va se retrouver face à des gens qui vont essayer de lui faire du phishing, en envoyant des mails frauduleux. Principalement pour lui faire payer des sommes d’argent plus ou moins importantes.

Pour une entreprise, on peut avoir des attaques de la part de concurrents. C’est-à-dire de l’espionnage industriel. On peut avoir une personne qui tente de nuire à l’entreprise en provoquant un déni de services (DOS). On peut également avoir des personnes qui vont être à la recherche du défi technique… Et qui vont donc tenter une intrusion. Non pas pour faire du mal mais simplement parce que c’est un challenge.

En fait ce qu’on voit, c’est que les risques ne sont pas du tout les mêmes que l’on soit une entreprise ou un particulier. Ce ne sont pas du tout les mêmes attaquants ni les mêmes impacts, financièrement parlant.


“Dans le secteur informatique, l’idée est de prévenir la menace”


Quelles solutions CNPP Cybersecurity peut apporter face à ces cyberattaques ?

J.F. Il y a un long panel d’actions sur lesquelles on peut intervenir en termes de cybersécurité :

  • Se protéger contre les malwares, avec un logiciel antivirus.
  • Protéger son réseau informatique, en utilisant un pare-feu, tout ce qui est filtrage au niveau du réseau.
  • Configurer correctement son matériel. C’est-à-dire préférer des services chiffrés à des services non-chiffrés. Ou des services authentifiés à des services non-authentifiés…

Après, il y a toute une partie organisationnelle de la sécurité. Définir des politiques, les mettre en œuvre et contrôler leur mise en œuvre. En fait, la sécurité informatique intervient vraiment sur deux tableaux :

  • La partie technique, configurer son matériel de manière sécurisée.
  • Puis la partie organisationnelle. C’est-à-dire entreprendre et planifier les actions de manière à ce que la sécurité soit assurée de bout en bout. Il faut qu’il y ait quelqu’un qui s’assure que la sécurité a été prise en compte à chaque phase de la vie du système d’information. Que cela soit lors du cycle de développement, lors de la mise en production du service ou lors de l’exploitation.
Peut-on ainsi affirmer que le domaine de la cybersécurité se résume davantage à être dans la prévention et l’anticipation que dans la réaction ?

J.F. Dans l’absolu, quand on travaille dans la sécurité informatique, l’idée est en effet plutôt de prévenir la menace que d’y répondre. Mais quand ces menaces interviennent, ce sont généralement les mêmes acteurs qui y répondent. Le secteur de la cybersécurité est équivalent au secteur de la sécurité incendie, dans le sens où on n’attend pas que le bâtiment ait brûlé pour poser des extincteurs. En fait, c’est exactement la même approche. On évalue les risques potentiels et on met en place les mesures nécessaires pour se prémunir de ces risques. Le fait que ce soit de l’informatique ne diffère pas de l’approche utilisée pour les risques physiques si j’ose dire.

Dernière question pour conclure, quel est le type de clientèle de CNPP Cybersecurity ?

J.F. C’est très varié. On va retrouver des entreprises qui sont dans un contexte informatique : des centres d’appels, des sociétés de services, des prestataires de paiement, des sociétés de développement logiciels… D’un point de vue de marché, on est plus sur le secteur tertiaire. On ne va pas être sur des agriculteurs ni sur des usines pétrochimiques, même si cela pourrait venir.

La cybersécurité concerne bien évidemment toutes les entreprises. Mais en termes de prise de conscience de ces sujets, le secteur tertiaire – qui est complètement informatisé – s’intéresse davantage à ces problématiques. Alors que les entreprises des secteurs primaire et secondaire, qui sont plus dans des phases de mise en œuvre des outils informatiques, n’ont pas encore à se préoccuper de cela. Avant de se poser la question de savoir si les outils informatiques sont bien sécurisés, il faut d’abord disposer d’outils informatiques. Les secteurs primaires et secondaires sont aujourd’hui dans cette phase-là.

Eitel Mabouong

Eitel Mabouong

Journaliste

ARTICLES SUR LE MÊME SUJET