Mieux intégrer la cybersécurité au business

Dans un monde où tout est interconnecté, c’est au début de chaque projet que les entreprises doivent aborder les questions relatives à la sécurité des systèmes et de la donnée.

Cédric Mauny – Senior Manager du département Cybersécurité de Telindus

Le développement de notre société numérique, nous oblige à mieux considérer les enjeux relatifs à la cyber-sécurité. « La donnée est aujourd’hui l’actif clé de toute entreprise, assure Cédric Mauny, Senior Manager du département Cybersécurité de Telindus. Il est nécessaire de mieux la protéger. La réglementation nous y incite d’ailleurs de plus en plus, de façon salutaire, afin de prémunir la société des dérives et des risques liés à l’utilisation abusive ou malveillante de ces données. »

Dans un monde où tout est interconnecté, c’est au début de chaque projet que les entreprises doivent aborder les questions relatives à la sécurité des systèmes et de la donnée. Comme l’explique Cédric Mauny, il convient, au regard des risques encourus, de mieux intégrer ces aspects dans chaque étape du développement des activités métier de l’entreprise.

Une existence interconnectée

C’est d’autant plus vrai aujourd’hui. Il suffit de considérer comment une voiture de dernière génération intègre une multiplicité d’interfaces. La radio, le GPS ou encore la batterie, et bien d’autres composants, se retrouvent interfacés au sein d’une même plateforme : votre voiture. Au-delà de l’automobile, on pourrait, plus largement, évoquer les villes intelligentes, les compteurs électriques, de plus en plus connectés, ou encore les dernières technologies auxquelles a recours la médecine de pointe. « Tous les éléments sont de plus en plus interdépendants. Or, plus on augmente le nombre d’interfaces, proportionnellement plus on offre de possibilités à des acteurs malveillants de trouver des portes d’entrées avec de potentielles failles pour compromettre des systèmes. L’interconnexion des systèmes augmente également la valeur individuelle des données du fait de leur recoupement qui peut en être fait pour du profiling, cela incite d’autant plus les attaquants à s’organiser… », poursuit l’expert en sécurité de l’information de Telindus. Si l’on considère la manière dont la technologie s’intègre dans notre quotidien, il n’est pas exagéré d’affirmer que nos vies, dans de nombreuses situations, dépendent du niveau de sécurisation des systèmes.

Intégrer la cybersécurité aux enjeux business

Il est essentiel que les aspects relatifs à la cybersécurité soient désormais discutés à la table du comité de direction de toute organisation. Les cyber-incidents, tels que le cyber-crime et extorsion ou fuite de données en tête (40%) sont maintenant le deuxième risque considéré par les Board of Directors juste derrière les interruptions de l’activité, incluant la perturbation de la chaîne d’approvisionnement (42%) et ce loin devant les catastrophes naturelles comme le montre l’étude Allianz Risk Barometer 2018.

«Une crise, en effet, peut avoir des conséquences considérables sur l’activité. Elle peut avoir un impact sur les finances de l’entreprise, paralyser les opérations, écorner l’image de marque, ébranler la confiance des utilisateurs, poursuit l’expert. Pour faire face à ces risques, il faut se préparer à toute éventualité, en établissant des scénarios selon les risques identifiés. Cela doit permettre de développer les bons réflexes, d’établir les procédures à activer pour mieux réagir à la crise et préserver l’activité. »

Du groupe qui propose des services transactionnels en ligne, comme une banque ou un site marchand, aux cabinets juridiques ou médicaux, en passant par les entreprises de développements applicatifs ou bien même les l’agences de webdesign, chacun doit mieux intégrer ces enjeux. «La manière dont va être organisée l’activité et les procédures mises en place sont aujourd’hui aussi importantes que les enjeux de conception d’un site internet ou de mise en œuvre des systèmes informatiques. La sécurité doit être considérée à tous les niveaux, poursuit Cédric Mauny. Cela ne touche pas que les plus grands, chaque société a des ressources à protéger, que ce soient les secrets de fabrication d’une PME innovante, ou bien même les données personnelles des patients d’une clinique privée. Tout doit être protégé « by design » afin de garantir la confiance nécessaire au développement du business et de se prémunir des risques encourus. » Cela est d’autant plus important pour les opérateurs de services essentiels, énergie, transports, banques, infrastructures de marchés financiers, santé, fourniture et distribution d’eau potable, et les fournisseurs de services numériques avec la future transposition de la Directive NIS. Finalement même si vous pensez ne rien avoir à protéger pour votre propre organisation, c’est la protection de vos clients qui doit vous orienter.

Développer des réponses propres à l’organisation

En l’occurrence, il est essentiel de se faire accompagner par des spécialistes de la gestion des risques cyber et de professionnels capables de vous aider à les atténuer. «Chaque entreprise est différente de par son activité, le marché dans lequel elle évolue, ou bien même par sa culture intrinsèque, en particulier son appétit au risque, explique Cédric Mauny. Le contexte a son importance dans l’évaluation des enjeux. De fait, les solutions à déployer, en interne ou en externalisant la gestion des enjeux de cybersécurité, dépendront directement d’une supervision des risques et des opportunités existantes. Beaucoup d’acteurs demandent à sous-traiter ces aspects avec Telindus pour profiter d’une protection optimale et pouvoir ainsi se concentrer sur la création de valeur liée à leur secteur d’activité. «Il n’y a pas d’approche unique. Il faut cependant pouvoir appréhender la problématique dans son ensemble, en veillant à protéger les systèmes, détecter les menaces, y répondre et réparer les
dégâts le cas échéant, ajoute l’expert en cybersécurité. En amont de toute attaque, des
processus doivent être mises en place pour détecter les problèmes et pouvoir mieux les comprendre. Il faut que chaque structure se donne les moyens de mieux se protéger en ce sens. »