Cyber : le risque est devenu structurel

Pendant plus de vingt ans, la cybersécurité s’est focalisée sur la Sécurité des Systèmes d’Information (SSI) avec le développement de protections sur le endpoint, soit le dernier maillon matériel de la chaîne (ordinateur, téléphone, etc.) et l’accès au réseau Internet. Les antivirus, les firewalls et les UTM (Unified Threat Management) de type appliances (gestion centralisée des menaces grâce à des solutions tout-en-un) en tous genres ont structuré un marché dominé par les éditeurs américains et israéliens, autour du concept de sécurité périmétrique avec, comme moteur d’innovation, la course à la fonctionnalité.

Or, la transformation numérique, la mobilité, les big data et l’Internet des objets ont changé la nature des menaces qui pèsent sur les systèmes informatiques des organisations. On observe désormais un élargissement du numérique à toutes les activités humaines personnelles et professionnelles.

Aujourd’hui, chaque personne à l’intérieur de l’organisation devient un risque pour le système dans lequel il évolue. Tout employé, prestataire interne ou externe, voire membre de la direction représente une « menace interne », car leurs accès aux applications, aux données et aux systèmes sensibles peuvent représenter une vulnérabilité pour l’entreprise. Ils sont la proie des hackers, isolés, organisés ou étatiques, qui utilisent leurs accès pour dérober des informations sensibles. Aujourd’hui 80 % des attaques passent par la « menace interne », les accès à privilèges et le piratage des gisements de données.

C’est encore plus vrai avec le passage au cloud où, par définition, l’accès est diffus dans des environnements virtuels. L’identification des utilisateurs, la protection des accès et des données sont alors la clef de la protection des actifs sensibles et/ou stratégiques de l’organisation. Les protéger, c’est gérer le risque numérique qui pèse sur les actifs, le fonctionnement des applications et des systèmes industriels soient les moteurs de l’activité business de l’entreprise.

La France et l’Europe, conscientes de la nécessité de renforcer notre résilience digitale, ont mis en place la directive Network and Information Security (NIS), le Règlement Général pour la Protection des Données (RGPD) et diverses règlementations métiers qui s’imposent aux sociétés cotées, aux grandes entreprises, aux administrations ainsi qu’à leurs partenaires et fournisseurs.

Ce traitement institutionnel du risque cyber témoigne d’une véritable prise de conscience de sa diffusion et de son impact potentiel sur l’économie. Cela impose des mesures informatiques, organisationnelles et réglementaires aux entreprises mais ces dernières se doivent d’aller plus loin. Compte tenu de l’importance prise par le numérique dans l’activité professionnelle et de l’évolution constante de la menace, la cybersécurité ne doit plus relever d’une logique assurantielle mais constituer un pan à part entière de l’offre de l’entreprise, garant de sa solidité, de sa réputation et in fine de la confiance que peuvent lui porter ses clients et ses partenaires. L’enjeu est désormais de concevoir des produits et services qui soient « privacy and security by design ».