#NEWS

20/12/2017

« Le cyber est intrinsèquement un sujet de gouvernance »

Parole d’expert : Jonathan Uzan, Directeur Cyber Defense chez Onepoint, répond aux questions de Verlingue sur le degré de maturité des entreprises en matière de risques cyber.

 

Verlingue Infos : À l’instar des récentes attaques mondiales, doit-on craindre une explosion des cyberattaques ?

 

Jonathan Uzan : « Ces 10 dernières années, ce qui ne représentait jusqu’alors que des menaces à la marge ciblant essentiellement des systèmes à données stratégiques (campagnes d’activisme politique, de déstabilisations étatiques…) s’est déporté avec beaucoup d’opportunisme vers les secteurs de l’économie classique. Il n’est plus tant question de briser un système avec qui l’on est en désaccord mais plutôt de gagner férocement de l’argent. Une mutation qui a sans doute connu sa traduction médiatique la plus forte lors de l’attaque WannaCry.

 

Le grand public, et avouons-le quelques chefs de grandes entreprises aussi, découvraient comment des pans entiers d’activité pouvaient être paralysés, puis rançonnés. Des attaques à distance, anonymisées, sans transporteur, sans receleur, depuis des pays sans extradition, et la possibilité pour les mieux organisées d’en blanchir les fonds directement en crypto-monnaies (Bitcoin). Le volume d’attaques augmentera nécessairement. Il ne faut pourtant pas en avoir peur. Il n’y a là rien qui ne puisse être surmonté lorsque l’on y est correctement préparé. »

 

 

Verlingue Infos : Comment les entreprises françaises sont-elles organisées ?

 

Jonathan Uzan : « La France nourrit des ambitions solides sur le numérique depuis les années 2000. Des moyens technique et humain importants ont été déployés afin de préserver nos souverainetés digitales. Des acteurs stratégiques, bien que privés, comme certains grands opérateurs financiers, de l’énergie ou encore du transport ont pu bénéficier de la protection opérationnelle des Agences de l’État. Dont acte.

 

Quid des entreprises ne faisant pas partie de cette liste classée confidentielle d’un peu moins de 250 grands opérateurs ? Et bien c’est un corpus normatif qui devrait permettre d’harmoniser l’ensemble des recommandations au niveau européen et pour l’ensemble des entreprises ayant à manipuler des données électroniques. LPM, GDPR, des sigles mais aussi autant de moments d’introspection, d’opportunités de repenser infrastructures digitales et sécurité.

 

Oui mais voilà. Les entreprises françaises se trouvent rapidement dépassées par ces nouvelles obligations, parfois pesantes, souvent vécues comme des contraintes financières, ralentissant métier et flux de travail. Rien ici qui ne prenne en compte les besoins et les réalités de la compétition commerciale.

 

Chaque entreprise française, par ailleurs, vit une histoire numérique qui lui est propre. Souvent construite dans l’urgence, sur quelques solutions généralistes proposées par les grands players de la défense et d’une exigence en ressources techniques et humaines hors de toute proportion possible. Déployées improprement depuis toujours, ces solutions sont à présent au mieux totalement obsolètes, au pire elles sont un poids que les entreprises ne font plus que subir. Les choses pourraient pourtant se passer bien différemment. »

 

 

Verlingue Infos : Le cyber n’est-il pas un sujet de gouvernance pour les entreprises ?

 

Jonathan Uzan : « Le cyber est intrinsèquement un sujet de gouvernance. Les entreprises françaises devraient à présent être assez matures pour démystifier des mots comme hacking ou piratage, et ré-aborder leurs infrastructures sous un angle nouveau.

 

Nous avons trop longtemps approché la sécurité des systèmes par le biais technique, dur, obscur, parfois même inquiétant, où tout ne serait qu’encryption, feux et urgence. La sécurité totale vantée par les vendeurs de solutions n’existe pas. Il est maintenant temps que le métier, accompagné d’experts, se réapproprie son destin numérique. Qu’il définisse sur mesure quantité et qualité de risque digital qu’il encourt, qu’il tolère, et celui qu’il ne pourra jamais se permettre. Il pourra alors y mettre en face les contre-mesures proportionnées les plus justes.

 

La menace se nourrit d’immobilisme, nous le constatons tous les jours dans les entreprises que nous auditons, nous avons ainsi acquis cette conviction forte que le métier doit être le moteur du choix cyber et, se désincarcérant de la contrainte, gouverner. C’est à cette frontière, entre innovation et cyber-décision, que se trouve véritablement la sécurité de nos entreprises. »

L’intégration des enjeux cyber dans la gestion des risques d’entreprise est centrale.

Nos experts vous répondent cybersolution@verlingue.fr