« Cybersécurité : les fondamentaux manquent trop souvent »

PwC Luxembourg aide les acteurs économiques à mieux gérer les risques et à faire efficacement face à la menace.

Ludovic Raymond, Cybersecurity Director, PwC Luxembourg

Dans une économie digitale, chaque organisation doit mieux prendre en compte les enjeux de cybersécurité. Selon une approche intégrée, incluant la sensibilisation, la protection des systèmes, les contrôles et la gestion de crise, PwC Luxembourg aide les acteurs économiques à mieux gérer les risques et à faire efficacement face à la menace. – Par Sébastien Lambotte

La sécurité des systèmes d’information, au sein de notre économie digitale, est devenue un élément critique. La bonne marche d’une activité et même sa survie dépendent de la capacité d’une société à protéger ses ressources numériques et à faire face efficacement à des attaques ou des risques cyber. « Si l’enjeu est réel, on constate malheureusement que, trop souvent, les fondamentaux ne sont pas appliqués », assure Ludovic Raymond, Cybersecurity Director, PwC Luxembourg. Or, la majorité des incidents pourraient être évités, ou leur impact diminué, si des mesures de base étaient appliquées. En effet, à l’échelle globale, plus de la moitié des incidents ont une origine humaine. Ceux-ci peuvent être liés à des négligences d’un employé en place, victime d’une tentative de phishing (30% des incidents*), ou à des anciens employés (26% des incidents*). Les autres incidents sont dus à des hackers qui exploitent des failles pour attaquer directement les systèmes de l’entreprise (23%*) ou encore à des concurrents (20%*). »

Une approche intégrée de la cybersécurité

Réduire le risque, donc, implique de mettre en place des mesures garantissant une protection renforcée. Cela passe, entre autres, par la sensibilisation des collaborateurs, du sommet de l’entreprise jusqu’à sa base, une meilleure gestion des vulnérabilités, un contrôle permanent des systèmes et de leur protection, ainsi qu’une optimisation des procédures de gestion d’incident.

Se doter d’un programme de sensibilisation

Aujourd’hui, PwC Luxembourg accompagne les organisations dans l’appréhension de la problématique cybersécurité sur l’ensemble de la chaîne, en commençant par la partie sensibilisation. « Pour cela, nous construisons des programmes annuels incluant des campagnes d’information à l’échelle de l’organisation mais aussi de la formation, poursuit Ludovic Raymond. On se rend compte qu’il faut, en permanence, insister fortement autour de ces enjeux, en développant divers messages et en activant divers leviers et outils de communication pour s’assurer que, selon les personnes, le message est bien reçu. » De l’importance de choisir un mot de passe sécurisé à la mise en garde contre les tentatives de phishing, en passant par l’importance de la vigilance collective, ces programmes abordent une grande diversité de sujets. « Des tests permettent d’évaluer le niveau de conscientisation. On peut mettre en place de fausses campagnes de phishing, pour voir le taux de clics à l’échelle de l’entreprise, ou déposer des clés USB de manière aléatoire à proximité de l’entreprise pour observer si elles seront ensuite connectées à son système d’information », explique Ludovic Raymond. Pour sensibiliser les responsables de l’organisation aux problématiques de sécurité, PwC met aussi en place un « serious game » baptisé « Game of Threat ».

Evaluer la sécurité, détecter les vulnérabilités

Sur la partie système informatique, PwC s’est aussi doté des compétences pour évaluer la sécurité et détecter les vulnérabilités. « Nous menons une analyse des vulnérabilités les plus critiques aujourd’hui, au regard du marché et des failles exploitées par les cybercriminels. Cette analyse permet de prendre les mesures correctives qui s’imposent. Au-delà, nous procédons à des tests d’intrusion réguliers sur les systèmes des organisations que nous accompagnons. Les membres de notre équipe agissent tels de réels hackers, en essayant, de manière indépendante, de s’introduire dans leurs systèmes. Les résultats de ces tests permettent de s’inscrire dans une logique d’amélioration continue de la sécurité des systèmes », explique Ludovic Raymond.

Se préparer à faire face aux incidents

Un des volets importants, dans le cadre du renforcement de la cybersécurité d’une organisation, a trait à la gestion d’incident. « L’enjeu est d’être préparé à faire face à une crise pour que, le jour où elle intervient, l’on puisse agir avec méthode, limiter l’impact et récolter les preuves. Pour cela, il faut être en mesure de comprendre rapidement ce qu’il se passe. En mettant en place des scénarios pour chaque risque identifié, on peut mieux établir et améliorer les procédures. Cela permet de s’assurer que les systèmes d’information sont résilients et de limiter les incidents », explique Ludovic Raymond. Le directeur de PwC salue à cet effet la création au Luxembourg de la Room 42 au sein du nouveau centre de compétences en cybersécurité (3C), qui permet à des équipes de s’immerger au cœur d’une crise, pour mieux évaluer les réactions et les dispositifs de réponse.

S’appuyer sur des partenaires compétences et indépendants

« Désormais, chaque organisation doit être préparée à faire face à une attaque, poursuit-il. En se dotant d’une personne pivot, un responsable en sécurité de l’information (CISO), qui réfléchit à ces enjeux, qui est capable de s’interroger sur les risques et de les remonter directement au comité exécutif une fois ceux-ci identifiés.  Par ailleurs, face aux enjeux, au manque de profils dans le domaine de la cybersécurité, aux compétences à mobiliser ou à former pour y faire face, chaque organisation peut aussi voir un intérêt à se faire accompagner par un acteur indépendant. Nous avons, dans cette optique, rassemblé des compétences et expertises. Une équipe dédiée, que nous formons en continu, aide ces CISO à faire face à la menace, en se dotant d’une gouvernance efficiente, mais aussi à gérer de manière très pragmatique les risques et les incidents au quotidien. » conclut Ludovic Raymond.

*Selon la dernière étude 2018 Global State of Information Security Survey publiée par PwC.