Fermer la publicité
Journal d'information juridique et d'annonces légales

Cyberlex 2018 : Comment assurer la sécurité en pleine transition digitale ?

le - - Droit

Cyberlex 2018 :  Comment assurer la sécurité en pleine transition digitale ?
© A.P. - Mounir Mahjoubi, secrétaire d'Etat chargé du Numérique, a ouvert les rencontres Cyberlex 2018.

« Le numérique est un enjeu essentiel pour l'État, et une des conditions de son succès est la sécurité », a expliqué le secrétaire d'État Mounir Mahjoubi lors des rencontres Cyberlex qui se sont tenues récemment au Sénat.

Cette année, le thème des rencontres annuelles de l'association Cyberlex était « Quelle sécurité dans un monde de transformation numérique ? ». Il était difficile de coller davantage à l'actualité.

« Au lendemain du CES de Las Vegas où vous étiez présent Monsieur le ministre, les entreprises françaises doivent plus que jamais repenser leur organisation, leur mode de fonctionnement, et inventer un nouvel ADN numérique au risque de perdre en performance ou même de disparaître », a déclaré Élise Dufour, présidente de Cyberlex, en introduction.

Changement de paradigme

Pour Mounir Mahjoubi, secrétaire d'État au Numérique, « 2018 est l'année de la sécurité numérique ».

WannaCry, NotPeya, Fancy Bear ou encore le dernier né, Bad Rabbit, sont les petits noms donnés aux ransomwares coupables des plus grands piratages. Après Uber, Yahoo, Darty, Hertz, MySpace, Ebay, LinkedIn, Sony, Target ou encore Cdiscount, la liste des victimes de piratage d'envergure continue de grandir. Avec l'émergence de hackers qui se professionnalisent et la transformation digitale mondiale « la menace va évoluer et sera forcément plus intense et plus accessible », a souligné Mounir Mahjoubi.

Il faut donc intégrer ce changement de paradigme. La menace a un temps d'avance sur la protection. Malheureusement, les cyberattaques sont diversifiées et se multiplient car elles bénéficient de l'intelligence de groupes et d'organisations vagues qui ne ciblent plus leur cible et lancent des attaques complexes en cascade. Les résultats de l'étude d'impact des attaques subies par les PME françaises menée par Philippe Laurier, responsable des activités de quantification du risque cyber chez IRT SystemX, en témoignent.

« Nul doute que le darwinisme digital sera sans pitié pour les entreprises qui attendent et ne se transforment pas », a averti Élise Dufour.

Pour se prémunir contre ce risque exponentiel, les dirigeants doivent ainsi mettre en place un cloisonnement. Ce dernier est le maître mot d'une bonne stratégie appliquée à un phénomène devenu la préoccupation majeure des directions générales, tant les dommages sont colossaux.

« L'industrie de l'attaque est plus avancée que l'industrie de la protection », a déploré le ministre qui souhaite créer « un nouvel âge de la cybersécurité ». Il y a deux scénarios possibles selon lui : celui qui veut qu'il soit déjà trop tard et celui qui est porté par la France et l'Europe afin d'instaurer une paix sur la toile.

En parfait accord avec l'association Cyberlex, les Pouvoirs publics souhaitent ainsi « faire du cyberespace un espace de confiance et de droit ».

Le secrétaire général de la Commission nationale de l'informatique et des libertés (CNIL), Jean Lessi, venu conclure ces rencontres, a rappelé que lors des six derniers mois, 110 millions d'identités américaines ont été compromises par des opérations de vols de données.

Un chiffre considérable qui fait frémir, notamment à l'approche de l'entrée en vigueur officielle du Règlement général européen sur la protection des données (RGPD), prévue le 25 mai 2018, qui pose un cadre mondial de responsabilité et de sécurisation des données personnelles sur la toile (lire encadré ci-dessous).

​RGPD : protection mondiale des données sur la toile

En ce début d'année, la mise en conformité avec le Règlement général sur la protection des données (RGPD) est une question centrale pour les entreprises et les Pouvoirs publics.

Pour le secrétaire d'État au Numérique, Mounir Mahjoubi, c'est « l'année du RGPD » qui va entraîner un « véritable choc de sécurité » et « ouvrir un secteur de la sécurité numérique ».

L'objectif principal de ce nouveau règlement européen sur le digital n'est pas seulement d'assurer la protection des données personnelles des Européens, mais surtout de permettre leur libre circulation et de contribuer à la création d'un marché unique numérique qui prenne en compte les évolutions technologiques.

Il s'agit « d'imposer aux responsables de traitement des données de mettre en place un privacy by design pour assurer la cybersécurité », explique Élise Dufour (photo).

« N'allons-nous pas donner trop d'importance aux données personnelles ? », se demande le colonel Éric Freyssinet, chef de la Mission numérique de la Gendarmerie nationale.

Le RGDP est un sujet central en ce moment, même aux outre-Atlantique. L'Europe a posé un cadre mondial sur la protection des données selon les intervenants.

La CNIL préconise aux entreprises de suivre une méthode en six étapes pour se préparer au RGPD : désigner un pilote ; cartographier les traitements de données ; prioriser les actions à mener ; gérer les risques ; organiser les processus internes ; documenter la conformité.

Ce travail est un vrai challenge. « Je défis toute entreprise d'être 100 % conforme au règlement », plaisante Arnaud David, Chief data protection officer chez CGI.

Des enjeux multiples

En réunissant un panel varié, passant de DSI de grands groupes à un DPO et même un hacker, la première table ronde a passé en revue les nouveaux enjeux de la sécurité dans la transformation numérique.

Le point de vue du modérateur, le colonel Éric Fressinet, chef de la Mission numérique de la Gendarmerie nationale, était très éclairant. Il a ainsi confié que l'ouverture et le partage d'information avec l'extérieur représentaient un enjeu important très particulier pour la Gendarmerie qui traite souvent d'informations classées confidentielles ou même secret défense.

« Il y a un grand nombre d'opportunités dans nos métiers autour de la cybercriminalité et du numérique », a-t-il souligné en citant les SOC (Security operation center), la cyberdéfense, la cybersurveillance, l'analyse des données…

« Un des principaux enjeux pour un directeur de la cybersécurité est de passer du statut de technicien au statut de communiquant », a expliqué Ludovic Petit, Group cyber security officer chez Altran, qui adopte un « rôle de démistificateur ».

Cet expert met en avant l'importance de la formation du personnel et de l'instauration de la confiance dans le numérique, en mettant autour de la table les directions juridiques et les DSI devant le Comex.

Vade-mecum sur la responsabilité des DSI

Le groupe de travail formé par des membres de Cyberlex et Clusif a rendu public un vade-mecum sur les « Obligations juridiques liées aux systèmes d'information ». Fruit de deux années de travail de ces associations juridiques renommées, ce guide se veut être un outil à la fois pratique, complet et lisible. Un bel éclairage qui permettra aux directeurs et responsables des systèmes d'information (DSI, RSSI et DPO) de mieux comprendre les impacts juridiques de leur métier.

En effet, il paraît nécessaire de senssibiliser tous les acteurs de l'entreprise, car les salariés adoptent encore des « comportements hallucinants » en se servant de leurs ordinateurs professionnels « n'importe où et n'importe comment » selon le hacker Olivier Laurelli.

Ce dernier a ainsi monté sa boîte – Affaire bluetouff – afin de conseiller les entreprises. La plupart de ses clients lui font des demandes de tests de disponibilité de réplication de données et de tests de pénétration dans les réseaux.

« Il y a forcément un moment où le manque de cloisonnement sera payé par l'entreprise », a expliqué le hacker Olivier Laurelli.

Optimiste sur la situation actuelle, ce dernier atteste d'une « véritable évolution ces dernières années avec des clients qui viennent en amont de l'attaque pour tester la fiabilité de leur système d'information ».

Ce changement de mentalité et cette dynamique anticipatrice sont confirmés par tous les intervenants. « Le métier doit se challenger et passer d'un état de réactivité à celui de proactivité », a conclu Ludovic Petit.

Une personne du public a toutefois soulevé la question de la relative absence de formation à l'école et d'éducation en général autour de cette problématique qui est un problème social contemporain touchant tout le monde.

« Il faut réussir collectivement à augmenter notre niveau de maturité et de connaissance », a expliqué Arnaud David, Chief data protection officer chez CGI.

Grand témoin de la seconde table ronde, le député Éric Bothorel, tout juste de retour du CES, a fait la présentation du rapport sur le marché unique numérique. Ce travail a pour

ambition de traiter de la manière dont la France se positionne sur les sujets de cybersécurité comme les plateformes, objets connectés, Intelligence artificielle, organismes de certification…

Le débat s'est souvent cristallisé autour du dilemme entre laisser la liberté et l'innovation et de l'autre imposer un encadrement pour la sécurité et la confiance. Toutefois, la nécessité de poser un cadre juridique semble émerger. Côté robot, par exemple, le point de vue académique a été donné par Alexandra Bensamoun, professeure spécialiste du droit de l'IA, qui a souligné l'importance du trio « éthique, confiance et responsabilité » établi par le député Cédric Villani.

Côté sécurité des données, l'avocate Thaima Samman s'est dite frappée par le fait que l'on parle davantage de collaboration et de partage entre acteurs plutôt que de secret.

Un cadre juridique adapté

« Un des enjeux de la sécurité numérique est de s'ouvrir et de partager, et l'autre est la confiance », a expliqué Mounir Mahjoubi à l'audience. Il l'invite ainsi à aller surfer sur cybermalveillance.gouv.fr et à lire le dernier rapport de la CNIL.

Comment adapter le droit à ces nouveaux risques ? Le législateur s'est emparé du sujet. La loi Informatique et Liberté de 1978, pour la confiance dans l'économie numérique de 2004 et celle de programmation militaire pour la période 2014-2019 avaient déjà introduit des obligations, tant en matière de sécurité que de protection des données personnelles.

En outre, le secrétaire d'État au Numérique a présenté récemment la transposition de la directive NIS (Network and information security) devant le Sénat sur la responsabilité des entreprises sur le net et la sécurité des réseaux et des systèmes d'information.

L'entrée en vigueur, en mai 2018, du régime de responsabilité issu du RGDP et de cette directive NIS viendra ainsi compléter et renforcer cet arsenal juridique.

Le Gouvernement a pris conscience de l'importance du sujet et souhaite développer « une culture générale de la sécurité numérique ».

Les assureurs et les réassureurs participent à la construction d'une filière française et européenne de la cyber-protection tout en travaillant à la création d'offres de cyber-assurance dans un environnement en perpétuelle évolution.

La France est aujourd'hui un des pays animateurs sur ce thème car elle a une certaine expertise et elle mène une grande réflexion sur la coordination des acteurs de la cybersécurité. Les rencontres Cyberlex en témoignent, selon le ministre.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer