A la création du FIC, en 2007, parlait-on déjà de cybercriminalité ?
Marc Watin-Augouard : En janvier 2005, des chefs d'entreprise se réunissaient déjà autour de cette thématique. Comme le nombre de participants augmentait, l'idée d'un forum a germé, soutenue par Jacques Barrot, ancien ministre et ex-commissaire européen. L'aide financière apportée par l'Europe a permis au FIC de se développer à Lille, rapidement complétée par la région, désireuse d'une ambition numérique pour le Nord-Pas-de-Calais. Quand l'Europe ne nous a plus soutenus financièrement, nous nous sommes rapprochés du CEIS, la Compagnie européenne d'intelligence stratégique, co-organisateur depuis 2013.
Combien de visiteurs se sont rendus sur le salon en 2016 ?
M. W.-A. : Près de 6 000. Pour cette année, nous avons déjà plus de 4 000 inscrits et 350 entreprises partenaires. La surface d'exposition augmente de 10 % chaque année. En deux jours, le FIC rassemble un salon de l'innovation en matière de cyber-sécurité, trois plénières et des ateliers. Il devient un rendez-vous institutionnel et un lieu d'échange entre les autorités et les décideurs.
Comment les entreprises, institutions ou collectivités territoriales prennent-elles le virage de la transformation numérique et ont-elles conscience de la nécessité de se protéger ?
M. W.-A. : Tout le monde est sensibilisé aux risques cyber mais peut-être davantage pour les autres que pour soi. Il n'y a pas que les grands groupes qui sont touchés ! Une PME, sous-traitante, peut aussi être cyberattaquée. Les start-up et les PME peuvent être bien plus intéressantes pour un prédateur que des entreprises du CAC 40 qui vont chercher leurs innovations dans ces petites structures ! À mon sens, ce qui pose problème, c'est le manque de prise de conscience de l'accélération du développement de la transformation numérique. Nous passons d'une rupture technologique à une autre. Et cela échappe encore à la capacité de décision des entreprises et des institutions. Le système de formation ne progresse pas aussi vite que le besoin et je crains que l'on soit dépassé.
Pourquoi ?
M. W.-A. : De plus en plus d'universités et de grandes écoles forment à la cybercriminalité mais on est encore loin du compte même si des masters se créent pour former des data scientist. La cybercriminalité ne concerne pas uniquement les masters informatiques. On forme une génération qui sera aux commandes dans dix ans sans avoir conscience de l'impact de la transformation numérique. Je suis moi-même enseignant et j'ai introduit ces notions dans le cursus. L'Union européenne a annoncé qu'en 2020, il manquera 900 000 emplois dans le numérique, faute de formation adéquate. Oui, le numérique détruit les emplois de faible qualification mais il en crée de nouveaux.
Revenons à la prévention des entreprises. Comment peuvent-elles se prémunir des cyberattaques ?
M. W.-A. : Il faut casser l'idée que la cybersécurité coûte trop cher. C'est un coût moins important que celui d'une perte de données. La première chose à faire, c'est de former, d'informer et d'associer le personnel. L'expérience montre que des problèmes malveillants peuvent venir par mégarde de l'interne. Chacun contribue à la cyber-sécurité de l'entreprise. Cela peut paraître évident mais il ne faut pas insérer une clé USB dont on ignore la provenance ! Il faut avoir une « hygiène informatique » ! Ensuite, l'entreprise doit travailler sur ses données et savoir comment les hiérarchiser. Des données volées, c'est la mort de l'entreprise ! Elle peut aussi utiliser des firewall, des logiciels de gestion des mots de passe ou recourir à la crypto.
Et pour les collectivités ?
M. W.-A. : Certaines collectivités territoriales se regroupent pour mutualiser leur cyber-sécurité. On peut aussi rapprocher ce fonctionnement de celui des incubateurs, qui proposent aux start-up un système sécuritaire environnant.
Dispose-t-on de données chiffrées sur le nombre d'entreprises cyber attaquées ?
M. W.-A. : Malheureusement non. Quand elle est attaquée et que ses données sont copiées, l'entreprise ne le sait pas toujours. Et si elle communique, il y a toujours le risque d'une perte de confiance des clients et des fournisseurs. Cependant, les entreprises ont l'obligation légale de déclarer les vols de données à caractère personnel.
Que penser des objets connectés, devenus incontournables du quotidien ?
M. W.-A. : Révolutionnaires dans notre façon d'aborder le quotidien, ces nouveaux objets sont aussi des collecteurs de données personnelles… Certes, il y a un danger pour l'intimité. L'attaque informatique du 21 octobre 2016 (1) aurait transité par des centaines de milliers d'objets connectés. Oui, l'objet connecté peut être source de criminalité. Prenez aussi le cas de l'hébergeur internet OVH, frappé d'une attaque massive en septembre 2016, à travers plus de 150 000 caméras connectées à distance…
Une cyberattaque est-elle forcément synonyme de la mort de l'entreprise ?
M. W.-A. : La structure qui dispose d'un plan de reprise d'activité peut survivre. Mais quand une entreprise subit une escroquerie au faux virement, elle se fait piller ses liquidités et perd ainsi la confiance de ses clients… J'espère que demain, la cybersécurité d'une entreprise sera perçue comme un avantage de compétitivité et non comme un coût.
(1) Une attaque informatique massive a paralysé le Web, essentiellement aux États-Unis. De type « déni de service » saturer un service de connexion pour le rendre inaccessible, elle a visé plus spécifiquement les services de Domain Name System de l'entreprise Dyn.
Prévenir en amont pour éviter les cyber attaques
Directeur général du CEIS, entreprise parisienne de conseil en stratégie et management des risques – et co-organisateur du FIC 2017 –, Guillaume Tissier livre quelques conseils pour gérer de façon optimale la transformation numérique.
Depuis 1997, le CEIS accompagne ses clients – acteurs publics, grands groupes et ETI –dans leurs projets de développement grâce à une démarche d'intelligence économique et d'analyse stratégique. Un moment implantée à Euratechnologies avec une entité régionale, la société est aujourd'hui basée à Paris et à Bruxelles, même si « nous travaillons avec plusieurs entreprises des Hauts-de-France », précise Guillaume Tissier. Maîtrise des cyber-risques, management de l'innovation, développement des territoires, audits et conseils de sécurité de l'information…, en plus de ses prestations auprès de clients, le CEIS organise des événements dans ses secteurs de prédilection, notamment la défense et la sécurité : Université de la Défense, Security & Defense Day, Forum de Dakar pour la paix et la sécurité, etc. « Nous sommes impliqués dans l'organisation du FIC depuis 2013. Ce salon, véritable plateforme en termes de business, symbolise la synthèse du volet stratégique et opérationnel que propose le CEIS » résume Guillaume Tissier. « Personne n'est à l'abri d'une cyberattaque. Les travaux de sensibilisation de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) et du gouvernement portent leurs fruits mais les menaces et la surface d'exposition augmentent. Le numérique est omniprésent, il y a un côté attractif pour les hackers. C'est donc un vrai défi, on est encore loin d'une sensibilisation suffisante dans le top management mais aussi auprès des salariés. Dans des situations d'urgence, on peut voir des comportements à risque comme échanger un contrat par mail ou utiliser des mots de passe peu solides… Certes la sécurité a un coût et toutes les entreprises n'ont pas les moyens de se protéger mais la meilleure conduite reste la prévention en amont » explique Guillaume Tissier, avant de poursuivre : « Quand l'incident arrive, le compromis est difficile entre la nécessité de l'enquête et la reprise de l'activité. Si je peux donner un conseil ? Dans un premier temps, porter plainte, et surtout, déculpabiliser ! Tous les acteurs sont touchés par la transformation numérique, l'usine du futur est connectée, les données sont vulnérables. Sans refuser le progrès des objets connectés, il faut les accepter en connaissance de cause et en agissant côté technique. » Preuve de cette montée en puissance du numérique, les collectivités sont plus nombreuses dans les allées du FIC.
