AccueilEntrepriseVie des entreprisesCybersécurité : votre entreprise est-elle data dépendante ?

Cybersécurité : votre entreprise est-elle data dépendante ?

Le Club Confiance & Data de l’Acsel a récemment réuni un panel d’experts en cybersécurité pour comprendre comment gérer la situation de data dépendance, un risque en pleine croissance.
Cybersécurité : votre entreprise est-elle data dépendante ?
© Adobe Stock

EntrepriseVie des entreprises Publié le ,

Partant du postulat que la majeure partie des entreprises sont devenues « data dépendantes », et ce d’autant plus depuis le début de la crise Covid, l’Acsel a souhaité mettre en lumière les risques engendrés par ce phénomène et leurs solutions.

« Cette dépendance implique une rationalisation dans la gestion de ses data au quotidien avec la mise en place d’une véritable stratégie », a parfaitement résumé la magistrateMyriam Quémener, experte auprès du Conseil de l’Europe en matière de cybercriminalité.

Cette session inédite animée par Gaëlle Picard, directrice des relations extérieures de Docaposte et vice-présidente du Club Confiance & Data de l’Acsel, a en effet tourné autour de la gestion des enjeux cyber devenue indispensable à l’ère où le traitement des données est roi et où il est primordial de prendre en compte l’importance de la fonction cyber au sein de l’entreprise.

Réunir une équipe d’experts autour d’une stratégie commune

Il ressort des interventions qu’une stratégie data réussie passe par l’adoption de bonnes attitudes et notamment une forme « d’humilité » qui permet de poser les bons diagnostics et les bonnes pratiques.

« Le RGPD a généré une prise de conscience d’un certain nombre d’acteurs pour préserver et conserver les données », a constaté Myriam Quémener, actuellement avocat général à la cour d’appel de Paris.

L’ancien hacker Serge Carpentier a également souligné le développement de l’encadrement légal de la gestion des données « avec une multiplication de la partie métier et de la partie malveillante ».

De son côté, Sandrine Ngatchou, qui travaille chez EDF au sein de l’unité d’ingénierie des centrales thermiques en tant qu’intégrateur de cyber solutions et correspondant sécurité des systèmes d’information, a abordé la spécificité de data dépendance de son activité, les centrales thermiques, dites infrastructures critiques, qui communiquent toutes entre elles grâce à l’IA avec de la maintenance prédictive. « On est donc très dépendants de nos données car elles nous aident à piloter la centrale », a-t-elle précisé. « On peut avoir confiance dans la data à condition d’avoir mis en place des actions et des outils de monitoring », a ajouté l’experte en soulignant que « le risque zéro n’existe pas, il faut donc savoir tester souvent nos réseaux ».

Pour Jean-Pascal Perrein, serial-fondateur d’initiatives de gouvernance de l’information (Observatoire GouvInfo, 3org mentorat, IAI-Awards, Chaire ESSEC Stratégie et gouvernance de l’information, Nuit du Hack), il faut donc d’abord s’entourer des bons experts. « Un des challenges d’aujourd’hui est d’essayer de mettre en musique et d’animer l’ensemble de ces experts pour qu’ils puissent communiquer entre eux », a-t-il expliqué.

Sécurité VS business : où placer le curseur ?

« Le curseur se positionne en fonction du secteur de l’entreprise et de son activité », a déclaré Jean-Pascal Perrein qui a travaillé dans le cadre de l’association GouvInfo IAI sur un référentiel en demandant aux experts leur sentiment de confiance vis-à-vis des données qu’ils manipulent quotidiennement et ce qu’ils pensent du niveau de protection de leur entreprise.

« Il ne faut pas attendre que son boss et son Comex nous disent qu’on peut y aller mais insister », a-t-conseillé en soulevant le problème d’acculturation important au niveau de l’exécutif sur les risques de protection des données. Il faut savoir leur faire comprendre quel est l’enjeu du coût du risque.

La magistrate se réjouit d’ailleurs que la crise sanitaire ait pu accentuer cette prise de conscience de la nécessité d’investir pour sécuriser la data, notamment nos données de santé. Elle estime ainsi que les chartes informatiques et les journées de formation sont « essentielles aujourd’hui » pour tous les travailleurs car « mieux vaut prévenir que guérir ».

Sandrine Ngatchou a témoigné du fait que son entreprise a mis en place un dictionnaire de la data accessible à tous les salariés, dirigeants comme collaborateurs, car il est important de savoir identifier et qualifier pour agir à bon escient.

Myriam Quémener a également abordé le sujet de l’assurance du risque cyber traité par un rapport récent de l’assemblée nationale qui préconise de ne pas payer les rançons, ainsi que le rapport du Club des juristes qui appelle à ce que la lutte contre la cybercriminalité devienne une grande cause nationale.

L’analyse par les risques

Les intervenants ont en effet souligné l’importance du dialogue entre les experts en cybersécurité, les différents métiers et le top management afin de « casser les silos » et d’avoir une vision globale de la stratégie.

« Cette collaboration face à la data m’apparait essentielle. Encore beaucoup d’entreprises fonctionnent encore en silos alors que l’information doit circuler entre les différents acteurs et tout un travail d’anticipation des crises à réaliser en interne mais aussi avec l’écosystème comme la CNIL et l’ANSSI ou encore cybermalveillance.gouv.fr »,considère Myriam Quemener qui prône le décloisonnement des différentes fonctions pour davantage d’efficacité dans le traitement des cyberattaques.

Aujourd’hui en charge du Centre opérationnel de sécurité et de cyberdéfense de Docaposte, l’ingénieur Serge Carpentier met aussi au cœur de la cybersécurité la confiance et l’analyse par les risques.

« La confiance est une valeur humaine et pas une valeur technique donc c’est à nous de déterminer l’exigence dans la qualité de l’information », a ajouté Jean-Pascal Perrein qui estime que les silos sont nécessaires en entreprise « car ils montrent qu’il y a de véritables experts » mais milite pour le dialogue.

Au final, tous sont d’accord pour dire que les entreprises sont dépendantes de leurs données mais qu’elles disposent de toutes les compétences pour les gérer et les protéger à travers l’analyse des risques. 

Quid de la gestion des talents et des compétences

A la question « les formations sont-elles adaptées aux besoins des entreprises ? Ont-elles accès à des profils compétents » Serge Carpentier a répondu que c’est un sujet délicat aujourd’hui car « il y a beaucoup de demande et que l’offre ne suit pas forcément donc les prix sur le marché sont plus qu’exorbitants ».

L’intervenant a d’ailleurs plaisanté sur le fait qu’il y a une sorte de Mercato avec des entreprises qui se disputent les meilleurs experts à coup d’augmentation de salaires. Selon lui, « il faudrait casser un peu le marché en montant une sorte de label pour ces experts ». Le problème est que la majorité d’entre eux ne sont bons que dans un certain domaine alors que la cybersécurité est très large. Pour embaucher, il utilise un questionnaire avec 36 questions et fait beaucoup appel à des prestataires de services.

De son côté, Sandrine Ngatchou forme les personnes dans un lab après avoir tester leurs capacités et automatismes via des exercices concrets. L’objectif étant de leur apporter de la formation et un plan de carrière afin d’éviter le turn-over.

Partager :
Envoyer à un ami
Connexion
Mot de passe oublié ?