Fermer la publicité
Journal d'information juridique et d'annonces légales

Jean-Marie Pivard : "L'étape suivante sera celle de l'espionnage industriel"

le - - Entreprise

Jean-Marie Pivard : "L'étape suivante sera celle de l'espionnage industriel"

Jean-Marie Pivard, président de l'Institut français de l'audit et du contrôle internes (Ifaci) fait un retour sur la table ronde intitulée « Les points clés d'une démarche robuste de cybersécurité » qui s'est tenue lors de la conférence annuelle de l'Ifaci sur les risques émergents et les nouvelles approches métiers.

Affiches Parisiennes : Quel est le niveau actuel de cyber-risque ?

Jean-Marie Pivard : Lors de la dernière conférence de l'Ifaci, un panel était dédié à la cybersécurité avec un représentant de l'Anssi et un auditeur interne de la Société générale. Il en ressort que l'Anssi constate ou s'inquiète d'une augmentation des cyberattaques. On a affaire en ce moment à des attaques qualifiées d'aveugles, type WannaCry, qui touchent une faille connue des serveurs Windows, sans cible préconçue. Ces attaques sont de plus en plus élaborées, avec du fishing poussé qui parfois n'est pas aveugle et vise des cibles précises. Par exemple, la Banque centrale du Bengladesh s'est fait voler 80 millions de dollars il y a quelques mois. Le cyber-risque est donc en train de monter sur la table des risques des entreprises.

A.-P. : Pourquoi cette augmentation des cyberattaques ?

J.-M.P : Tout simplement pour l'appât du gain. Ce sont des attaques relativement simples qui permettent a de petites équipes de cybercriminels dans des pays exotiques ou ailleurs de gagner d'importantes sommes d'argent. Il y a aussi des attaques plus organisées avec des techniques de déstabilisation politique, d'activisme voire de terrorisme.

A.-P. : À quoi faut-il s'attendre à l'avenir ?

J.-M.P : L'Anssi s'inquiète de l'émergence de nouveaux types de cyberattaques comme la prise de contrôle à distance d'une voiture. Si on fantasme un peu, demain il sera possible aux hackers de prendre le contrôle d'une centrale nucléaire ou même d'un avion. Avec l'augmentation des attaques ultra-ciblées, l'Anssi pense que l'étape suivante sera celle de l'espionnage industriel voire, ce qui est encore plus grave, du sabotage.

A.-P. : Quid de l'impact du RGPD ?

J.-M.P : Les intervenants ont expliqué qu'il y a un lien fort entre cybersécurité, cybergouvernance et RGPD qui doivent être étudiés ensemble. La mise aux normes des entreprises par rapport au RGPD devrait ainsi réveiller les consciences sur ces sujets vu les montants colossaux des amendes. C'est finalement une question de moyens. La réglementation européenne va pousser les entreprises à être plus vigilantes et verrouiller ce qui doit l'être. Si tout le monde avait mis à jour ses serveurs Windows, le virus WannaCry aurait fait pschitt ! Il y aura toujours des attaques très sophistiquées mais cette réglementation va forcément renforcer la base et éviter qu'autant d'entreprises soient touchées par des attaques de masse.

A.-P. : Les entreprises sont-elles en conformité ?

J.-M.P : Comme toujours, les grands groupes, ceux très exposés ou ceux qui ont déjà subi une attaque, ont mis en place des systèmes de gestion des cyber-risques. Après, il y a un certain nombre d'entreprises qui ne sont pas du tout prêtes face à la date butoir du 25 mai 2018 qui marque l'entrée dans la phase 2 du RGPD. Comme pour la loi Sapin II sur l'anticorruption, ça bouge vite, il y a une prise de conscience et tout le monde travaille sur le sujet.

A.-P. : Comment réagissent les entreprises ?

J.-M.P : Le cyber-risque est un risque comme un autre. Il faut désamorcer la bulle médiatique qui se développe autour de ce risque qui doit être traité comme tous les autres, et ne pas alimenter les phobies. Il doit être traité, audité et intégré à une cartographie des risques du groupe, puis être décliné selon les différents types de risques encourus en fonction de sa taille, de son exposition médiatique, des échanges en BtoB ou BtoC… L'entreprise doit savoir si elle risque davantage un vol d'informations et de données personnelles, ou un vol d'argent, du sabotage, un déni de service, etc., avant de mettre en place des plans d'actions en fonction de ces scénarii. Elle doit impérativement bien connaître son réseau, son domaine, savoir où sont stockées toutes ses données, avoir une politique précise de gestion des accès avec cloisonnement et mots de passe compliqués et faire pratiquer des tests d'intrusion. Il est aussi très important d'auditer les tiers prestataires.

A.-P. : Un conseil d'expert pour les entreprises ?

J.-M.P : Un axe important à développer est celui de la formation du personnel. Les projets de gestion des cyber-risques ne sont pas des projets informatiques mais des projets de gouvernance d'entreprise. Ça doit être pluridisciplinaire entre les services informatique et juridique, notamment pour les aspects de contrats et d'audit des prestataires, de risk management pour la cartographie, d'audit pour contrôler le tout, mais également les ressources humaines car il faut mettre en place des formations sur les comportements à adopter pour éviter les cyberattaques ou bien y faire face.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer