Talk 3 & 4 : DOSSIER CYBERSÉCURITÉ: qu’est-ce-qui a changé en 2014? A quoi s’attendre en 2015?
__________________________________________
TALK 3 & 4 – DOSSIER CYBERSÉCURITÉ, avec:
François Lavaste, DG de Stormshield. STORMSHIELD (Arkoon et Netasq), est aujourd’hui une filiale d’Airbus Defence and Spaceet acteur français de référence sur le marché de la cyber-sécurité. Rémy Février, Maître de conférences au CNAM. Ancien Lieutenant-colonel de la Gendarmerie Nationale expert en Intelligence Economique et Sécurité des Systèmes d’Information, il enseigne également l’Intelligence Economique à l’Université ainsi qu’à l’ENA et l’ESSEC. Il est l’auteur de « Les collectivités territoriales face à la cybercriminalité » (2014) et de « Intelligence économique: un atout pour les collectivités » (2010) Pour écouter, réécouter ou télécharger cet entretien:
Stormshield a connu, en 2014, une croissance notable de son chiffre d’affaires (+15%). Stormshield propose tant en France qu’à l’international des solutions de sécurité de bout-en-bout innovantes pour protéger les réseaux (Stormshield Network Security), les postes de travail (Stormshield Endpoint Security) et les données (Stormshield Data Security).
L’éditeur français a investi en 2014 plus de 20% de son CA en R&D et poursuit en 2015 cette stratégie de conquête avec plusieurs recrutements planifiés. La société a consolidé son positionnement européen en ouvrant un bureau en Allemagneet au Royaume-Uni et ambitionne également d’affirmer sa position sur le marché des grands comptes.
Le message de Stormshield aux entreprises est simple et honnête : Comme l’ensemble des acteurs du marché de la sécurité, Stormshield ne peut pas promettre à ses clients qu’ils ne connaîtront plus jamais d’attaques MAIS elle s’engage à détecter toutes nouvelles attaques le plus rapidement possible. 243 jours est le délai moyen pour détecter une attaque. Son objectif est de transformer ces 243 jours en 30 secondes !
TRIBUNE de FRANÇOIS LAVASTE
Cybersécurité : A quoi s’attendre?
Après une année 2014 où, sans surprise à vrai dire, de nombreuses cyber-attaques majeures ont été médiatisées, comme par exemple celles qui ont frappé Target ou Sony, ou encore des vulnérabilités informatiques révélées à grande échelle comme Heartbleed et Shellshock ; la sécurité informatique sera, sans aucun doute, à nouveau un sujet brûlant en 2015.
Il s’agit bien en effet, d’un contexte inédit, où, pour la première fois, la survie d’une entreprise est menacée par les hackers qui la prennent en otage: nous sommes passés d’un hacking crapuleux à un enjeu de société.
Mais qu’est-ce qui a changé en 2014 et à quoi s’attendre en 2015 ?
L’après « affaire Sony »: la cybersécurité, un sujet prioritaire
En 2015, la cybersécurité est enfin prise très au sérieux, au plus haut niveau. Les CEO, COO, RSSI, DSI et CIO risquent leurs postes. Les entreprises (grandes ou petites) jouent leur image, leur valorisation en bourse mais aussi leur survie. Les états jouent la stabilité de leurs économies, des institutions, et la compétitivité de leurs armées et des opérateurs d’importance vitale (OIV) qu’ils ont la responsabilité de protéger.
Plus que jamais, se protéger des cyber-criminels devient une priorité. Les entreprises se posent toutes impérativement la question « Et s’il nous arrivait la même chose qu’à Sony ? ». Cette affaire aux conséquences graves, qui a aussi un volet de politique internationale, a un impact important sur l’état d’esprit des dirigeants et leurs responsabilités en 2015. Aujourd’hui, ils prennent conscience du danger et savent qu’ils doivent agir pour ne pas être pris en otages. Il en va de la survie de leurs organisations.
L’objectif du « zéro défaut »
En matière de sécurité informatique, le constat 2015 est aussi qu’il n’existe plus aucun « refuge ». Dans un passé récent, certains systèmes d’exploitation, certains réseaux, certains terminaux mobiles étaient encore considérés comme «relativement sûrs ». Chacun sait désormais que hackers et cyber-criminels sont capables du pire, partout et quel que soit le système ciblé.
Par ailleurs, aujourd’hui, il ne suffit plus d’être « sécurisé à 90% ». L’objectif est d’élever encore plus le niveau de protection et de tendre vers le « zéro défaut » en matière de sécurité informatique et industrielle.
Ces décrets d’application qui vont changer la donne
En matière de sécurité informatique et industrielle, en Europe et en France, la pression législative s’intensifie et des réglementations importantes sont en train d’être mises en place. 2015 voit le passage d’un mode « recommandations, lignes directrices et sensibilisation » à un mode « obligations règlementaires ».
Par exemple en France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) s’engage, en effet, pour une cyber-défense ambitieuse avec la nouvelle Loi de Programmation Militaire, votée en 2013 par le Parlement et dont les décrets sont en cours d’élaboration. Elle va s’atteler à l’élaboration d’un cadre réglementaire que devront respecter les OIV.
De la sécurité informatique à la sécurité industrielle
2015 est aussi l’année phare du passage d’une stratégie de cybersécurité, essentiellement orientée IT (Information Technology) jusqu’à présent, vers une stratégie plus globale, incluant l’OT (Operational Technology). Les frontières entre sécurité informatique et sécurité industrielle tendent, en effet, à disparaître.
La cybersécurité n’ayant pas été, ces dernières années, une préoccupation majeure pour le monde industriel, certaines installations présentent de nombreuses vulnérabilités. Comme dans l’informatique traditionnelle, il y a quelques décennies, les portes et les fenêtres sont aujourd’hui grandes ouvertes pour les hackers. Les attaques portées sur les systèmes industriels, les outils de production, les SCADAet l’internet des objets, représentent des risques bien réels si les entreprises ne se tiennent pas prêtes et n’investissent pas davantage dans la protection de leurs réseaux industriels. L’apparition de concepts comme celui de « l’industrie 4.0 » doit impérativement s’accompagner d’une prise en compte des problématiques de cybersécurité dès les phases de designs initiaux des systèmes.
Le facteur humain, au cœur de la sécurité
Construire un système de sécurité fiable et compétitif dans le monde informatique d’aujourd’hui est un challenge extrêmement complexe. Il existe un large panel de logiciels, produits, solutions et services de sécurité qui remplissent des fonctions bien définies, mais leur utilisation n’assurera jamais à 100% l’invulnérabilité du système. Le point faible de toute stratégie est souvent le facteur humain. Celui-ci est, volontairement ou non, très souvent responsable du « succès » des attaques et peut réduire à néant les efforts passés à l’élaboration d’un système de sécurité fiable et résistant. Les utilisateurs sont les maillons essentiels de la chaîne de protection des actifs des entreprises et sont remis au cœur de la stratégie de sécurité. Ils doivent être sensibilisés aux règles d’hygiène informatique, à la discipline de suivi des processus et formés pour devenir des contributeurs actifs de la sécurité de leur entreprise.
RÉMY FÉVRIER
Quel regard portez-vous sur l’appropriation du numérique par les entreprises françaises ?
De manière globale, les entreprises françaises se sont appropriées les TIC et en ont fait un levier de création de valeur, notamment par la mise en place d’ERP et de portails Internet performants. Toutefois, cette évolution s’est le plus souvent traduite par une recherche d’efficacité optimale sans se préoccuper outre mesure de la sécurisation des données afférentes, qu’elles soient liées à des traitements internes (paie, comptabilité, R&D…) ou externes (fichiers clients, prospects, portail Internet…).
Quels sont les risques, pour les entreprises, d’une mauvaise sécurisation de leur système d’information ?
Le risque est majeur et peut même constituer une menace pour la pérennité de l’entreprise. Ainsi, une entreprise qui ne sécurise pas ses flux de données ou qui ne dispose pas d’une sauvegarde régulière « hors site » du contenu de ses serveurs peut rencontrer de gros problèmes. D’autant qu’en cas de perte ou de vol d’informations à caractère personnel, les dirigeants et les managers pourront voir leur responsabilité personnelle mise en cause, y compris si l’entreprise dispose d’un DSI. Trop d’entreprises sont atteintes de ce que j’appelle le « syndrome de la dernière ligne du tableur », c’est-à-dire une tendance à se focaliser sur les coûts induit par la sécurisation d’un système d’information, au sans tenir compte du fait qu’une absence de précautions sera encore beaucoup plus coûteuse, à terme, pour l’entreprise. Ce genre de raisonnement peut s’avérer extrêmement préjudiciable, à moyen terme.
Dans les ouvrages que vous avez publiés, vous insistez sur le fait que le principal risque, en matière de sécurité informatique, réside dans l’absence de précautions des utilisateurs : pouvez-vous nous en dire plus ?
Effectivement, en tant qu’ancien officier de gendarmerie d’active spécialiste du domaine, il m’est loisible de vous dire que les principales précautions à prendre sont autant d’ordres humain que matériel. En effet, la grande majorité des risques numériques trouvent leur source dans une absence de précautions relativement à l’utilisation des outils informatiques mis à disposition des managers et salariés.
Les entreprises prennent-elles conscience des enjeux et des risques ?
Malheureusement, cette prise de conscience que les pouvoirs publics appellent de leurs vœux est encore très faible parmi les dirigeants et managers français. On assiste néanmoins à un regain d’intérêt pour le sujet depuis l’émergence, sur l’agenda médiatique, de ce qu’il est dorénavant convenu d’appeler « l’affaire Snowden ». Depuis le début de ces révélations, je suis de plus en plus sollicité pour sensibiliser et former les managers et dirigeants à ces risques qui ne feront que s’amplifier au fil du temps, mais la route est encore longue avant que l’ensemble des cadres français s’approprient définitivement cette problématique.
Vous abordez, dans vos ouvrages, la question de la « e-réputation » : quels sont les risques encourus par les entreprises et leurs dirigeants ?
Le risque est tout simplement de subir des attaques informationnelles récurrentes soit à l’encontre des produits de l’entreprise, soit directement vis-à-vis de ses dirigeants. A l’instar de toute innovation technologique majeure, l’avènement d’internet apporte simultanément de grands bienfaits et de grands risques… Un des corollaires direct de la compétition économique que nous connaissons réside dans le fait que de plus en plus d’entreprises voient leurs produits et, plus inquiétant encore, leur dirigeants, faire l’objet de mises en cause directes sur Internet, par le biais des réseaux sociaux ou encore des forums. (Article complet: Journal de l’économie)
CHIFFRES CLÉS DE LA CYBERCRIMINALITÉ
Coût mondial 2014: 400 milliards $ (étude McAfee)
La cybercriminalité ponctionnerait chaque année entre 15 et 20% de la valeur créée par Internet
Manque à gagner emploi en Europe: 150 000 postes (200 000 aux US)
Le pays le plus touché est l’Allemagne avec 1,60% de son PIB impacté par la cybercriminalité. Le Japon est le pays qui s’en sort le mieux avec 0,02%.
Contrairement aux idées reçues, la France ne s’en sort pas si mal avec 0,11% de son PIB. C’est 6 fois moins que les États-Unis qui commencent à s’inquiéter très sérieusement des attaques comme celle, récente, de Sony Pictures.
70% des objets connectés seraient vulnérables… on doit donc s’attendre en 2015 à une augmentation forte et rapide des attaques sur les objets connectés. Ces derniers étant intégrés à la vie quotidienne des utilisateurs, ils permettent de plus l’accès à des données de très haute valeur (comportements et consommations de l’utilisateur, données médicales…). Ils seront donc au cœur de nombreuses convoitises. (source: Global security mag)
TALK 3 : Reportage chez ESKER, leader français de la dématérialisation ! suivi d’un entretien avec Rémy Février, expert en sécurité informatique, maître de conférence au CNAM
TALK 3 : Reportage chez ESKER suivi d’un entretien avec Rémy Février, spécialiste en sécurité informatique, maître de conférence au CNAM.
Pour écouter, réécouter ou télécharger l’émission :
Cette semaine, direction Lyon, où nous partons à la découverte d’Esker, un des principaux éditeurs mondiaux de solutions d’automatisation des processus documentaires et de dématérialisation des documents de gestion.
S’adressant à tous les acteurs de l’entreprise, ses solutions en nuage (Cloud Computing) permettent aux entreprises d’automatiser et de dématérialiser la réception, le traitement et l’envoi de leurs documents : factures fournisseurs, bons de commandes, factures clients, lettres de relances, bulletins de paie, courriers commerciaux et marketing, etc. Esker aide ainsi les entreprises à éliminer le papier et sa manipulation de leurs processus de gestion, tout en améliorant leur productivité, leurs cycles de gestion et leur impact environnemental.
Les solutions d’Esker sont utilisées par plus de 80 000 entreprises dans le monde telles que Adecco, EDF, Entremont, Flammarion, Manpower, Thomson Reuters, Samsung ou encore Whirlpool, ainsi que par des ETI.
Avec un chiffre d’affaires de 41,1 millions d’euros en 2013, Esker se positionne comme le 22ème éditeur de logiciels français et 3ème en région Rhône-Alpes selon le classement Truffle 100 France 2014. Esker se classe également au 5ème rang des champions du SaaS selon l’AFDEL avec une croissance de plus de 16 % de ses solutions Cloud en 2013, représentant plus de 61% du chiffre d’affaires du Groupe (89% en France).
Couvrant l’Amérique du Nord, l’Europe et l’Asie/Pacifique, Esker est un des éditeurs de logiciels français le plus présent à l’international avec 65% de son chiffre d’affaires réalisé hors de France, dont 41% aux Etats-Unis.
Esker est cotée sur NYSE Alternext à Paris (Code ISIN FR0000035818) et bénéficie du label d’entreprise innovante décerné par Oséo (N° A1209022V).
→ Entretien avec Rémy Février
Sécurité informatique, piratage, cybercriminalité: quelles sont les dangers? Les bonnes pratiques?
Rémy Février, ancien cadre du secteur privé et ancien dirigeant d’un cabinet de consulting en stratégie, est Maître de Conférences au CNAM, Lieutenant Colonel – réserve opérationnelle – de la Gendarmerie Nationale. Chargé de mission Intelligence Economique et Commissaire général délégué du Forum international sur la cybercriminalité (FIC), il enseigne l’Intelligence Economique et Territoriale en masters spécialisés au CNAM, à l’Ecole nationale d’administration, en écoles supérieures de commerce et à l’Université.
√Michel PICOT 
Vous devez être connecté pour poster un commentaire.