Catégories
Actualités Sécurité informatique

Cybersécurité et transformation digitale

Nous vivons depuis quelques années une véritable transformation digitale, qui touche de manière globale le monde d’aujourd’hui. Celui-ci est devenu interconnecté et collaboratif. Conséquence directe de cette transformation : la mutation des systèmes d’information. Ces derniers s’agrandissent de plus en plus, et développent de nouvelles façons de communiquer ; ils se doivent également d’être plus performants, et de mettre en place de nouveaux processus, afin de pouvoir soutenir cette transformation.

Bien que la transformation digitale offre de nouvelles opportunités (de nouveaux marchés par exemple), elle apporte également son lot de nouvelles menaces, auxquelles doivent faire face les organisations. La mobilité, ainsi que la sophistication et la montée en puissance de la cybercriminalité rendent les risques intrinsèques au monde informatique de plus en plus dangereux pour les entreprises qui doivent agir dès maintenant pour contrer ces menaces. En effet, ces dernières, gagnant en intensité, ont de plus en plus d’impact sur les sociétés. Pourtant, la confiance que les organisations (et les utilisateurs) placent dans les nouvelles technologies est vitale pour les entreprises si elles veulent pouvoir profiter des opportunités offertes par la transformation digitale. C’est là que la cybersécurité intervient.

Le rôle de la cybersécurité ? Prévenir et empêcher les cyberattaques, tout en minimisant leur impact sur les sociétés.

La cybersécurité offre une nouvelle approche de la sécurité informatique : la gestion des risques. Elle nécessite d’avoir une vision globale des différents systèmes de l’organisation, ainsi que des problématiques liées à la sécurité et des impacts connexes à l’entreprise. Avec la transformation digitale, les entreprises sont également obligées de redéfinir leur stratégie en terme de sécurité informatique. En effet, celle-ci doit se diriger vers une approche dite de “gestion des risques”, en se détachant du modèle actuel qui est segmenté et centré autour des outils, car elle concerne l’ensemble des activités et des métiers des organisations (entreprises, administrations…) et ne peut donc pas se borner à une problématique d’infrastructure informatique. C’est l’ensemble de la chaîne qui doit donc être protégée, ce qui implique une veille et une surveillance constante, ainsi qu’une maîtrise sans faille des gestions de crises qui peuvent être liées aux cyberattaques.

De nos jours, la question de la cybersécurité est primordiale pour les entreprises d’autant plus que la législation européenne s’intensifie avec la création d’un nouveau règlement européen le “General Data Protection Regulation¹” (Règlement Général sur la Protection des Données, NDLR), qui vient modifier le cadre juridique relatif à la protection des données personnelles au sein de l’UE et force les sociétés à revoir leur plan d’action. Effectivement, le GDPR a un impact non négligeable sur toutes les entreprises collectant, gérant ou stockant des données ; son but premier est de simplifier et d’harmoniser la protection des données dans l’ensemble des pays de l’UE. Les sanctions en cas de non respect du règlement par les organisations sont lourdes : des amendes allant jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires mondial seront applicables. L’objectif de ce nouveau règlement est le suivant : faire face aux nouvelles réalités du marché particulièrement en matière de protection des données personnelles liée aux réseaux sociaux ou encore au cloud computing.

Un incident mineur peut avoir une conséquence majeure au sein de l’entreprise, phénomène dit “d’effet papillon”, pourtant une étude menée par Deloitte France, “Enjeux Cyber 2016², démontre que la cybersécurité n’est prioritaire que pour 7% des organisations (entreprises, industries, institutions…), alors que 58% d’entre elles se réjouissent de leur transformation digitale. De plus, alors que la transformation digitale se classe deuxième, juste derrière les résultats financiers (61%), et devant la satisfaction client (53%), ou celle des actionnaires (40%). La cybersécurité, quant à elle, est bonne dernière (12%), loin derrière l’innovation (30%). L’étude souligne également le fait que seulement 31% des organisations l’intègrent dans leur “Top 10”, bien qu’elles soient 58% à se considérer comme exposées, et 25% très exposées (contre 15% peu exposées, et 2% non exposées). Notons, par ailleurs, que plus d’un tiers des entreprises ne s’estime pas capable d’identifier une cyberattaque sophistiquée, et 20% ne peuvent mesurer les dommages financiers causés par les incidents informatiques (selon la 18ème édition de l’enquête annuelle d’EY³ sur la sécurité de l’information).

Les sociétés ont donc tout intérêt à revoir leurs priorités, la cybersécurité étant essentielle à leur transformation digitale. Mais les contraintes budgétaires en freinent encore 62% ; 57% pour le manque de ressources qualifiées. Cependant, le processus de transformation digitale se doit d’être sécurisée de la meilleure des façons afin de :

  • protéger les utilisateurs (pour leur vie privée, mais également pour contrer les tentatives d’escroquerie et l’utilisation frauduleuse de leurs données, tout en garantissant les services essentiels de l’organisation ; dans le but de donner confiance aux utilisateurs) ;
  • protéger l’entreprise (c’est-à-dire en garantissant la continuité de l’activité, en protégeant la propriété intellectuelle de celle-ci, en bloquant les différentes tentatives de cyber-rançonnage – entre autres – en se prémunissant contre les atteintes faites à l’image de la société ; le tout afin d’assurer la pérennité de l’entreprise).

Repenser la stratégie sur la sécurisation du système d’information est donc devenu une nécessité pour les entreprises. Pour cela, l’adoption d’une approche dite de “secure by design“ est recommandée.

Mais qu’est-ce que le “secure by design“ ? Il s’agit de solutions conçues pour prendre en compte, dès le début, tous les enjeux de sécurité en utilisant des Framework et une architecture minimisant l’impact des possibles cyberattaques, et réduisant le risque d’actions malveillantes. Mais pour mettre en place une approche de “secure by design“, les entreprises devront dès la conception de leur projet/système d’information et après avoir étudié différents scénarios d’attaque, créer des environnements sécurisés et prévoir un plan de reprise/continuité d’activité. Sans oublier l’organisation des équipes qui travailleront en tant qu’utilisateurs de ce projet et de ce système d’information !

Contrairement aux idées reçues, la cybersécurité au sein d’une société ne dépend pas d’une seule personne (ou d’un seul service), mais bien de l’ensemble des acteurs de l’organisation, car chacun des maillons composant l’entreprise peut être vulnérable face à une cyberattaque. Pourtant, l’enquête annuelle d’EY sur la sécurité de l’information met en lumière que 44% des salariés ne sont pas sensibilisés aux questions de cybersécurité. Elle indique également que le phishing représente 44% des menaces informatiques au sein d’une entreprise ; 43% pour les logiciels malveillants. Une sensibilisation, voire formation,  des collaborateurs est donc essentielle pour améliorer la cybersécurité au sein de sa société. Mais les systèmes obsolètes (34%) peuvent également augmenter les risques en terme de cybercriminalité.

Pour faciliter la transformation digitale des entreprises, tout en garantissant l’intégrité de leur système informatique, une méthode dite de “défense active” est à mettre en place ; notamment avec la règle des “3A” (Activer, Adapter, Anticiper). C’est-à-dire :

  • Activer les mesures nécessaires en matière de cybersécurité au sein de l’entreprise,
  • Adapter en fonction des besoins de cette dernière et des mutations de son système d’information,
  • Anticiper les risques.

Toujours selon l’enquête annuelle d’EY sur la sécurité de l’information, seulement 24% des entreprises ont un programme d’identification des vulnérabilités, contre 34% qui ont un programme informel. Alors que la question de la sécurité informatique est au coeur de l’actualité, seulement 7% des organisations déclarent avoir un programme de réponse robustes aux incidents. Pire, 63% pensent que la gestion des menaces est une priorité moyenne, voire faible ; 54% d’entre elles n’ont pas de rôle dédié aux technologies émergentes au sein de leur service chargé de la sécurité informatique ; et 36% n’ont pas de programme de veille pour la détection des menaces. Mais, peu à peu, les entreprises ouvrent les yeux sur le problème de la cybersécurité, ce qui poussent 28% d’entre elles à envisager d’investir plus dans leur système de sécurité.  


¹ GDPR

² Etude “Enjeu Cybersécurité 2016

³ EY France est un des principaux cabinets d’audit financier. Pour l’étude, c’est ici.

[message type=”info”]Des questions en matière de sécurité informatique ? Pas de panique ! L’équipe d’OM Conseil est là pour vous conseiller et vous accompagner tout au long de votre transformation digitale 🙂[/message]