« La transformation sur les questions de cybersécurité doit être culturelle »

Propos recueillis par la rédaction de Questions de transformation - 25 avril 2017

0
45
45
Inscrivez-vous
à la newsletter
Les usages liés à la transformation digitale ont créé de nouveaux risques, qui obligent les entreprises à se réorganiser pour mieux prévenir, détecter, endiguer et se remettre des attaques. La riposte passe par le renforcement des systèmes de sécurité, mais aussi par une sensibilisation et une vigilance accrues du public via des gestes simples, car la cybersécurité est devenue l'affaire de tous.

Comment renforcer la sensibilité du public à la cybersécurité et développer les bonnes pratiques ?

Marc Ayadi - La transition digitale et l'adoption de nouveaux usages induisent de nouvelles opportunités, mais aussi de nouveaux risques. L'exposition croît avec l'ouverture des systèmes industriels et l'arrivée des usines 4.0, la montée en puissance des objets connectés, la généralisation de l'usage des réseaux sociaux... Chacun doit pouvoir profiter des nouvelles opportunités et s'adapter aux risques. Il faut mettre en œuvre des actions pour mieux anticiper et mieux réagir aux attaques afin d'en minimiser les impacts. Beaucoup d'efforts ont été faits sur les dispositifs de sécurité, mais cela ne suffit pas. Certains dirigeants ont augmenté les budgets mais les postures adoptées ne sont pas toujours à la hauteur des risques. Trop de dirigeants d'entreprises classées comme opérateurs d'importance vitale (OIV) par la loi de programmation militaire ne se rendent toujours pas compte des conséquences réelles que cela implique... Aujourd'hui, la sécurité ne relève plus uniquement d'un directeur de la sécurité, elle doit devenir l'affaire de tous. La transformation doit donc être culturelle, ce qui passe le plus souvent par des gestes simples : être vigilant dans la lecture des mails, prendre le temps de regarder l'objet des mails, utiliser des pseudos, protéger sa vie privée sur les réseaux sociaux, se renseigner sur l'usage qui est fait des données personnelles... Quand on télécharge un logiciel, il faut se renseigner sur la réputation de son éditeur, voir les problèmes de sécurité qui sont remontés sur les forums, ne pas télécharger de logiciels en open source s'ils ne sont pas issus d'éditeurs reconnus...

Quels sont les écueils à éviter dans un contexte professionnel et pour les usages personnels ?

M. A. - L'engagement et la responsabilité contractuelle envers un employeur ne sont pas les mêmes que dans la vie personnelle ou dans un contexte familial, mais il est recommandé d'utiliser dans sa vie privée les mêmes moyens de chiffrement que dans l'univers professionnel. Notamment car il n'y a aucune raison de divulguer plus d'informations que nécessaire sur sa vie privée. Il ne s'agit pas pour autant de verser dans une forme de paranoïa qui pourrait freiner l'adoption des nouvelles technologies et tuer l'innovation en donnant une trop grande importance au risque. Si le bénéfice de certains objets connectés est important et le risque faible, il n'y a aucune raison de s'en priver. La transformation digitale s'est d'abord attachée à développer les usages et a réfléchi ensuite à la sécurité. On peut le déplorer mais cela reste un mal nécessaire... La prise de conscience viendra des consommateurs. Plus ils seront conscients des usages frauduleux, plus ils exigeront que les fabricants augmentent le niveau de sécurité de leurs produits. Nous sommes au début de cette prise de conscience. La certification de la cybersécurité n'existe pas encore en tant que telle, mais des standards et des labels commencent à se mettre en place. 

Une innovation comme les véhicules autonomes reste malgré tout une source d'inquiétude pour le public, qui craint de voir se multiplier des cyberattaques...

M. A. - Les développements autour des véhicules autonomes sont l'exemple même d'un marché naissant qui dispose d'un potentiel gigantesque, qui peut révolutionner notre vie et où les impératifs de sécurité sont totalement pris en compte depuis le début. Il sera de la responsabilité du régulateur de fixer des normes pour assurer la sécurité de ces véhicules et de voir jusqu'où pousser le principe de précaution sans tuer un marché naissant. Ce sera aussi une question économique. Il y a encore beaucoup d'incertitudes, mais il est certain que la sécurité des futurs utilisateurs et des citoyens sera l'enjeu majeur de l'adoption de ces nouveaux véhicules.

L'intelligence artificielle est-elle une voie d'avenir pour détecter les attaques ?

M. A. - L'intelligence artificielle est déjà une réalité car le principe même des Security Operation Centers (SOC) repose sur la corrélation d'événements et l'analyse prédictive. C'est aussi de cette manière que les malwares sont analysés et que leurs occurrences peuvent être bloquées. Ces méthodes d'analyse posent le problème des « faux positifs », qui ont tendance à se développer rapidement. La réduction de la proportion de ces faux positifs participe de l'anticipation et de l'adaptation à la menace, à la décision de passer à un fonctionnement en mode dégradé. L'intelligence artificielle permet aussi de raisonner par analogie par rapport aux systèmes mis en place par des pairs et de voir de quelle manière les systèmes mis en place peuvent être reproductibles.

Quels sont les défis de formation face à la demande croissante de spécialistes de cybersécurité dans tous les secteurs ?

M. A. - C'est un énorme défi ! Face à la prise de conscience des besoins, une nouvelle génération d'experts va arriver, mais les écoles d'ingénieurs et les masters spécialisés ne forment toujours pas assez d'experts en sécurité par rapport à la demande du marché. Sans compter qu'il faut entre deux et six ans après la fin des études pour former un véritable spécialiste de cybersécurité. Le choix qui consiste à se doter de ces compétences en interne ou à faire appel à une compétence externe ne règle pas la question de la pénurie sur ces métiers. Ce secteur constitue donc un gisement d'emplois qui ne demandent d'ailleurs pas tous des formations à niveau Bac + 5. Il attire aussi beaucoup de passionnés spécialistes du hacking, qui deviennent des experts de la sécurité. La tension sur ce marché dépend de la valorisation de ces métiers. Ces personnes sont souvent plus intéressées par les défis qu'on leur propose au quotidien que par la motivation financière.

Que peut-on attendre de la Cyber Tech et de l'innovation pour garder un temps d'avance sur les attaquants ?

M. A. - Beaucoup de startups se positionnent sur des applications d'analyse des vulnérabilités, d'exploration via le Deep Web, du Dark Web, sur les moyens de cryptographie... D'autres travaillent sur les outils de gouvernance, sur la sécurité des systèmes industriels ou des objets connectés. La Cyber Tech répond à beaucoup de besoins et la France a plutôt bien investi ces domaines, notamment car l'État et les entreprises ont pris la mesure de la menace. Ces entreprises sont très focalisées sur les solutions et sur des créneaux qui ont été délaissés par les acteurs traditionnels de la sécurité, car ils leur semblaient trop coûteux ou que la R&D ralentissait la mise sur le marché. Quand il s'agira d'industrialiser ces solutions, beaucoup de startups vont se faire racheter par les grands éditeurs.
 
bio express
 
Marc Ayadi , Associé EY en charge des expertises Cyber, Technology et Data pour la France, le Maghreb et le Luxembourg
Marc Ayadi est ingénieur de formation et titulaire d'un doctorat en sécurité des systèmes d'information. Après avoir commencé sa carrière chez Bull, puis Capgemini comme expert en sécurité, il a passé plus de dix-sept ans en cabinet d'audit et de conseil, dont quatorze ans chez EY. Marc Ayadi était depuis 2012 en charge du département IT Advisory chez Deloitte France. En janvier 2016, il a rejoint le département Conseil d'EY en qualité d'Associé en charge des expertises Cyber, Technology et Data pour la France, le Maghreb et le Luxembourg. Il dispose de plusieurs certifications professionnelles : le certificat d'audit des systèmes d'information (CISA), le certificat pour les managers en sécurité (CISM) et le Certified Information Systems Security Professional (CISSP).


Plus de contenus
Plus de contenus
S'inscrire à la newsletter hebdomadaire
{POPUP_CONTENT}