«Un jour, vous serez piraté !, lance Vincent Laurens, Head of Security Business Development, Sogeti Belux. Mieux vaut, donc, y être préparé !»
Si, d’après Gartner, 56% des entreprises de par le monde ont admis avoir subi une attaque sécurité, «les autres ne le savent sans doute pas», ironise Vincent Laurens dans le cadre de la récente conférence SMACS de Sogeti. Et il est bien placé pour le savoir puisqu’il a lui-même, dans une autre vie certes (il est aujourd’hui repenti) avoir été «pirate éthique».
Alors que par le passé, la cybersécurité était l’affaire de «geeks», c’est aujourd’hui devenu commodity et les étapes d’une cyberattaque sont connues : reconnaître une cible, scanner l’environnement, pirater le système, puis se cacher durant un certain temps avant de commettre son forfait, puis de disparaître en couvrant son attaque. «Les ATP ou Advanced Persistant Threats sont aujourd’hui l’une des cybermenaces majeures, car elles restent silencieuses avant l’attaque», poursuit Vincent Laurens.
Pour se préparer à ce D2D, qui ne signifie pas «Day-to-Day», mais bien «Designed to Disrupt», Vincent Laurens propose «de concevoir de nouvelles approches et de penser différemment». Ainsi, à l’entendre, les data scientists sont les futurs spécialistes en cybersécurité car ils pourront analyser les données de sécurité et prendre les décisions appropriées.
De même, il ne faut plus chercher à décrocher un budget sécurité en agissant le spectre de la crainte, mais en éduquant le comité de direction et les cadres -pourquoi pas sous forme de jeux et d’une créativité «out of the box». Enfin, il est essentiel d’éduquer et de sensibiliser davantage.
«Vous devez vous préparer à une éventuelle attaque en vous y préparant et en intégrant les dernières technologies -comme l’offre ASTI ou Application Security Testing Industrialization de Sogeti, conclut Vincent Laurens. Arrêtez de complexifier l’informatique en général, et la cybersécurité en particulier. Il faut faire simple !»
Marc Husquinet
Inclure les bonnes pratiques de la cybersécurité dans un avenant au contrat de travail !
Plus l’entreprise est grande, plus les collaborateurs ont le sentiment d’être bien protégés. On passe ainsi de 85% des collaborateurs à 90%, voire 93% dans certains domaines d’activités, observe Capgemini dans sa dernière étude sur la cybersécurité, les objets connectés et les systèmes industriels réalisée par Opinion Way. Dans cette étude, 47% des grandes entreprises affirment qu’elles ont déjà fait l’objet d’une attaque informatique…
Autre point mis en avant dans l’étude : la perception de la gravité des menaces. Si le virus informatique reste encore perçu comme la menace principale en cumulé (48%), le vol de données (43%) et l’erreur humaine (38%) sont désormais plus présents dans l’esprit des gens. L’attaque de hacker n’arrive en comparaison qu’en cinquième place (25%).
Les données personnelles, qui ont désormais une valeur marchande, sont au coeur du problème. Et elles peuvent coûter d’autant plus cher aux entreprises que la règlementation européenne est très stricte sur leur vol, les amendes pouvant atteindre jusqu’à 5% du chiffre d’affaires mondial d’un groupe.
Avec des erreurs involontaires ou des attaques par phishing (faux e-mails) et social engineering, qui représentent 80% des attaques réussies, la cybersécurité nécessite une hygiène informatique qui gêne les gens, estiume Capgemini, qui insiste sur la sensibilisation -tout le monde est responsable- et la formation.
Une problématique qui pourrait à l’avenir devenir partie intégrante du contrat de travail entre l’entreprise et le collaborateur. Capgemini, déjà, a mis en place un avenant au contrat de travail avec 68 règles de conduite qui imposent des bonnes pratiques…