Fermer la publicité
Journal d'information juridique et d'annonces légales

Les Défis Cyber : question de stratégie

le - - Entreprise - Vie des entreprises

Les Défis Cyber : question de stratégie
© A.P. - Plus de 150 professionnels ont assisté au Défis Cyber pour se former sur la gestion des cyber-risques.

« Toute atteinte massive aux données à caractère personnel constitue une grande faille pour les entreprises et la confiance collective dans l'économie numérisée », a lancé Gwendal Le Grand, directeur des technologies et de l'innovation de la Cnil, lors des Défis Cyber organisés récemment, à Paris, par Option Finance et ses partenaires.

Cet événement, à destination tant des grands groupes que des PME, a rassemblé plus de 150 professionnels, risks managers, auditeurs, assureurs, investisseurs, spécialistes de la sécurité informatique, avocats et associations, afin de sensibiliser l'entreprise aux risques de cyberattaques.

La cybersécurité est un sujet on ne peut plus business. Au début du mois, la grande firme américaine Google annonçait qu'elle fermait Google+ après la découverte d'une faille de sécurité ayant affecté les données d'au moins 500 000 utilisateurs.

Avec son approche managériale et technique mais aussi financière, la deuxième édition des Défis Cyber, a été ouverte par un intervenant de choix : Gwendal Le Grand, directeur des technologies et de l'innovation de la Commission nationale de l'informatique et des libertés (Cnil).

Analyse d'impact et gestion des risques

Cette année a été mouvementée du côté de la Cnil avec la mise en œuvre du Règlement général sur la protection des données (RGPD) dont les professionnels comme les particuliers comprennent les enjeux mais ont de nombreuses interrogations pratiques.

En effet, Gwendal Le Grand a souligné que la hotline de la Cnil reçoit 45 % d'appels de professionnels en plus, tandis que ses services ont enregistré une augmentation de 65 % des plaintes de particuliers cette année.

Pour l'expert, le RGPD introduit une approche de la cybersécurité par l'analyse et la gestion des risques. En outre, la protection des données personnelles « est en quelque sorte un droit d'infrastructure, qui rend possible l'exercice d'autres droits comme la liberté d'opinion ». La bonne mise en œuvre du règlement européen entre ainsi dans le « champ de compétence et l'ADN de la Cnil ».

« Le RGPD et la directive police-justice consacrent le fait que la protection des données et l'exercice des libertés fondamentales vont de pair », a-t-il expliqué à l'assemblée.

Comme les Pouvoirs publics, ce dernier considère qu'il s'agit d'une « question de responsabilité collective », de sensibilisation et de formation.

Mois européen de la cybersécurité

Aujourd'hui tout est numérique, et ce qui ne l'est pas le sera bientôt. Comprendre les risques, recevoir les conseils avisés d'experts, appliquer les recommandations de sécurité…
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) et plus de trente autres partenaires institutionnels se mobilisent pendant tout le mois d'octobre pour apporter des clés de compréhension et d'action en matière de cybersécurité.
Le dessinateur FiX caricature des anecdotes recueillies autour de lui, dans la presse et transmises par les partenaires du Mois européen de la cybersécurité, afin de sensibiliser l'opinion de façon humoristique.

Les entreprises doivent ainsi se mettre en ordre de marche pour instaurer une fine analyse des données à caractère personnel qu'elles collectent, et construire une véritable stratégie de gestion des risques de compromission de ces dernières.

« La protection des données personnelles et la cybersécurité, sont inextricablement liées. La Cnil constitue un acteur clé de la cybersécurité car elle est en mesure d'assurer le passage à l'échelle et l'instauration des bonnes pratiques », a souligné Gwendal Le Grand.

Par exemple, la Cnil est compétente pour contrôler le respect des obligations d'analyses de risques sur les traitements de données. Pas seulement “gendarme”, elle prend aussi à cœur son rôle de conseil et d'accompagnement. Elle a ainsi produit et mis en ligne gratuitement un logiciel d'étude d'impact à destination des entreprises (lire encadré ci-dessous).

Une matière plus stratégique que technologique

Intitulée “Cyber attaque : une menace plus stratégique que technologique”, la table ronde animée par Hervé Schauer, membre du conseil d'administration du Clusif (lire encadré page suivante), a passé en revue les moyens d'identifier et prévenir les cyberattaques.

« Les menaces sont variées et polymorphes, internes comme externes, volontaires et involontaires », a expliqué Pierre-Yves Hentzen, PDG de Stormshield.

Il existe en effet plusieurs types de risques à surveiller. Par exemple les erreurs involontaires liées à l'insouciance, comme « ne pas verrouiller son ordinateur portable pro lorsqu'on est dans le TGV, ne pas laisser ses enfants ou soi-même installer des jeux en réseau, ne pas se connecter aux wifi publics, ne pas refuser les mises à jour, ne pas utiliser un seul mot de passe pour tous ses comptes… nous sommes tous concernés ».

Succès du logiciel libre de la Cnil

La Cnil a mis en ligne depuis l'automne dernier un logiciel PIA (Privacy Impact Assessment) qui s'inscrit dans une démarche d'accompagnement des responsables de traitement dans la mise en œuvre des obligations du Règlement général sur la protection des données (RGPD). L'article 35 du RGPD impose en effet la réalisation d'une analyse d'impact.

Disponible en français et en anglais, l'outil de la Cnil est téléchargeable gratuitement.

Guillaume Desgens-Pasanau, ex-directeur juridique de la Cnil, explique : « Le RGPD prévoit que, pour certains types de traitements de données, les responsables devront rédiger une étude d'impact dont l'objectif est de vérifier les enjeux de protection et évaluer le niveau de risque en matière de protection de la vie privée. Ce document pourra être communiqué sur demande à la Cnil, qui pourra d'ailleurs faire dans certains cas des remarques et bloquer la mise en œuvre du traitement pendant quelques semaines.
La Cnil a donc mis en ligne un logiciel libre qui permet de préparer ce fameux document. C'est un outil d'aide à la décision qui va assister le professionnel sur les informations qu'il doit renseigner et comment évaluer le niveau de risque par rapport à un traitement. »

Cette analyse PIA doit décrire l'intérêt légitime du traitement de données ; évaluer sa nécessité et sa proportionnalité ; évaluer les risques pour les droits des personnes concernées ; et apporter les preuves du respect des droits et du RGPD.


Il y a aussi des menaces volontaires internes : le collaborateur du service SI qui navigue dans les serveurs et fouille dans les données (comme le salaire du patron), le salarié qui détourne des sommes grâce à l'accès au service financier, celui qui sort de la donnée pour la véhiculer dans d'autres sociétés contre rémunération, etc.

« Il faut donc former les collaborateurs sans cesse », a conseillé Pierre-Yves Hentzen, et porter une attention particulière à l'accès aux données et à la gestion des mots de passe.

« Le SI c'est à la fois, du hard, du soft et du social », a fait remarquer justement David Luponis, associé expert cybersécurité chez Mazars.

Enfin, il faut contrer les menaces externes dont les plus courantes sont les virus attrapés dans des courriels, sur des sites ou par le biais d'une clé USB. Il y a aussi une recrudescence des ransomewares (logiciel malveillant qui prend en otage les données et les remet contre une rançon) et des attaques par dénis de service visant à rendre indisponible le système d'information.

Le retour d'expérience de Sylvie Sadones, directrice de l'audit interne informatique du groupe Renault, membre de l'Ifaci, a confirmé cet état de fait. « Renault est attaqué systématiquement », a-t-elle témoigné. « Jusqu'en 2017, les solutions mises en place par la DSI ont suffi : 230 millions de messages malveillants et 80 000 virus par mois arrêtés l'an dernier ». Les usines Renault ont été attaquées par Wannacry un vendredi soir. L'incident a été réglé pendant le week-end « grâce à une formidable communauté de travail et de gestion de crise ».

© Kroll Ontrack

Pour l'experte, le tout est de « s'organiser pour réduire les risques » avec une « bonne gouvernance portée par le comité exécutif ». Chez Renault, ce risque est « regardé, étudié et géré à tous les niveaux de l'entreprise ».

La grande nouveauté est le cryptominage, c'est-à-dire l'utilisation frauduleuse d'ordinateurs pour crypter les réseaux de cryptomonnaie (Bitcoin, Ether, Monero, Litecoin). Il est donc important que les entreprises mettent en place des tests d'intrusion pour faire le bilan de « l'imperméabilité de leur système d'information ».

« Il faut 201 jours en moyenne pour s'apercevoir que l'attaquant est chez soi ! », a alerté Pierre-Yves Hentzen.

La nécessité de s'assurer

Il y a une méconnaissance des solutions d'assurance par les dirigeants d'entreprise. Mickaël Robart, directeur des lignes financières de Siaci Saint Honoré, a donc rappelé l'importance de s'assurer face à ses nouveaux risques, afin de protéger la valeur de l'entreprise.

Christophe Delcamp, directeur adjoint des assurances de dommages et de responsabilité de la Fédération française de l'assurance, a d'ailleurs expliqué le rôle des assureurs.

« On travaille beaucoup le sujet du risque cyber au sein de la fédération », a-t-il confié.

Les dirigeants d'entreprise peuvent aujourd'hui être mis en cause à titre personnel en cas de non-respect de la réglementation RGPD. Ce risque est exclu des assurances de responsabilités standard du dirigeant et de l'entreprise, c'est pourquoi il faut souscrire une cyber-assurance. « Nous avons du travail à faire sur ces risques car on se doit de manière impérative d'être le plus clair possible dans nos contrats », a expliqué l'assureur.

Pour Jehan de Castet, fondateur de la FinTech Fluo et membre du bureau de France Fintech, « l'assurance a un rôle de prévention, mais aussi d'éducation, c'est d'ailleurs le rôle du courtier notamment chez les TPE-PME ».

La cyber-assurance est devenue une protection des risques humains et économiques nécessaire. Les dirigeants n'ont pas encore assez conscience que la cybercriminalité est partout et qu'elle coûte cher.

Le Ponemon Institute, en partenariat avec IBM, a révélé dans son enquête annuelle “Cost of Data Breach” le coût total moyen d'une faille de sécurité pour les organisations. Aux États-Unis, un vol de données personnelles ou confidentielles coûte aux entreprises 7,4 millions de dollars en moyenne. La facture est moins élevée pour les organisations françaises qui doivent tout de même compter sur un coût moyen de 3,5 millions de dollars pour une faille de ce type.

Le marché de la cyber-assurance n'a donc pas fini de gonfler.

A propos du Clusif

Association à but non lucratif, le Clusif a pour mission d'élaborer puis de transmettre, aux professionnels comme aux particuliers, un ensemble de bonnes pratiques en matière de sécurité de l'information.
Les réflexions et les échanges d'idées du Clusif sont réalisés au travers de groupes et d'espaces de travail réunissant de manière équilibrée des offreurs et des utilisateurs issus de tous les secteurs de l'économie.
L'objectif principal de ce club professionnel est de favoriser les échanges d'idées et de retours d'expériences au travers de groupes de travail, de publications et de conférences thématiques.

La prochaine conférence du Clusif se tiendra le 12 décembre à Paris, Espaces Vocation, au 92 rue de Saint-Lazare.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer