Dossier Cybersécurité: le point sur les nouvelles attaques, les risques et les moyens de se protéger. C’était au Business Club (podcast)

Publié le Mis à jour le

Dans le prochain Business Club de France | BFM Business Radio

→ Diffusion : samedi 16/5/2015 à 7h et dimanche 17/5/2015 à 15h

AU SOMMAIRE

Talk 1 : CARNOMISE s’installe à l’aéroport de Beauvais

Talk 2 : AUDIOGAMING: de Toulouse à Hollywood, la jeune startup séduit les plus grands!

Talk 3 & 4 : DOSSIER CYBERSÉCURITÉ: qu’est-ce-qui a changé en 2014? A quoi s’attendre en 2015?

__________________________________________

TALK 3 & 4 – DOSSIER CYBERSÉCURITÉ, avec:

francoislavasteFrançois Lavaste, DG de Stormshield. STORMSHIELD (Arkoon et Netasq), est aujourd’hui une filiale d’Airbus Defence and Space  et acteur français de référence sur le marché de la cyber-sécurité. remyfevrierRémy Février, Maître de conférences au CNAM. Ancien Lieutenant-colonel de la Gendarmerie Nationale expert en Intelligence Economique et Sécurité des Systèmes d’Information, il enseigne également l’Intelligence Economique à l’Université ainsi qu’à l’ENA et l’ESSEC. Il est l’auteur de « Les collectivités territoriales face à la cybercriminalité » (2014) et de « Intelligence économique: un atout pour les collectivités » (2010) Pour écouter, réécouter ou télécharger cet entretien:

[audio http://podcast.bfmbusiness.com/channel151/20150516_club_2.mp3] [audio http://podcast.bfmbusiness.com/channel151/20150516_club_3.mp3]

STORMSHIELD c’est: 200 employés / 150 000 appliances installés / +2Mio d’agents déployés / 800 revendeurs / 40 pays

Stormshield a connu, en 2014, une croissance notable de son chiffre d’affaires (+15%). Stormshield propose tant en France qu’à l’international des solutions de sécurité de bout-en-bout innovantes pour protéger les réseaux (Stormshield Network Security), les postes de travail (Stormshield Endpoint Security) et les données (Stormshield Data Security).

L’éditeur français a investi en 2014 plus de 20% de son CA en R&D et poursuit en 2015 cette stratégie de conquête avec plusieurs recrutements planifiés. La société a consolidé son positionnement européen en ouvrant un bureau en Allemagne  et au Royaume-Uni et ambitionne également d’affirmer sa position sur le marché des grands comptes.

Le message de Stormshield aux entreprises est simple et honnête : Comme l’ensemble des acteurs du marché de la sécurité, Stormshield ne peut pas promettre à ses clients qu’ils ne connaîtront plus jamais d’attaques MAIS elle s’engage à détecter toutes nouvelles attaques le plus rapidement possible. 243 jours est le délai moyen pour détecter une attaque. Son objectif est de transformer ces 243 jours en 30 secondes !

TRIBUNE de FRANÇOIS LAVASTE

Cybersécurité : A quoi s’attendre?

Après une année 2014 où, sans surprise à vrai dire, de nombreuses cyber-attaques majeures ont été médiatisées, comme par exemple celles qui ont frappé Target ou Sony, ou encore des vulnérabilités informatiques révélées à grande échelle comme Heartbleed et Shellshock ; la sécurité informatique sera, sans aucun doute, à nouveau un sujet brûlant en 2015.

Il s’agit bien en effet, d’un contexte inédit, où, pour la première fois, la survie d’une entreprise est menacée par les hackers qui la prennent en otage: nous sommes passés d’un hacking crapuleux à un enjeu de société.

Mais qu’est-ce qui a changé en 2014 et à quoi s’attendre en 2015 ?

L’après « affaire Sony »: la cybersécurité, un sujet prioritaire

En 2015, la cybersécurité est enfin prise très au sérieux, au plus haut niveau. Les CEO, COO, RSSI, DSI et CIO risquent leurs postes. Les entreprises (grandes ou petites) jouent leur image, leur valorisation en bourse mais aussi leur survie. Les états jouent la stabilité de leurs économies, des institutions, et la compétitivité de leurs armées et des opérateurs d’importance vitale (OIV) qu’ils ont la responsabilité de protéger.

Plus que jamais, se protéger des cyber-criminels devient une priorité. Les entreprises se posent toutes impérativement la question « Et s’il nous arrivait la même chose qu’à Sony ? ». Cette affaire aux conséquences graves, qui a aussi un volet de politique internationale, a un impact important sur l’état d’esprit des dirigeants et leurs responsabilités en 2015. Aujourd’hui, ils prennent conscience du danger et savent qu’ils doivent agir pour ne pas être pris en otages. Il en va de la survie de leurs organisations.

L’objectif du « zéro défaut »

En matière de sécurité informatique, le constat 2015 est aussi qu’il n’existe plus aucun « refuge ». Dans un passé récent, certains systèmes d’exploitation, certains réseaux, certains terminaux mobiles étaient encore considérés comme «relativement sûrs ». Chacun sait désormais que hackers et cyber-criminels sont capables du pire, partout et quel que soit le système ciblé.

Par ailleurs, aujourd’hui, il ne suffit plus d’être « sécurisé à 90% ». L’objectif est d’élever encore plus le niveau de protection et de tendre vers le « zéro défaut » en matière de sécurité informatique et industrielle.

Ces décrets d’application qui vont changer la donne

En matière de sécurité informatique et industrielle, en Europe et en France, la pression législative s’intensifie et des réglementations importantes sont en train d’être mises en place. 2015 voit le passage d’un mode « recommandations, lignes directrices et sensibilisation » à un mode « obligations règlementaires ».

Par exemple en France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) s’engage, en effet, pour une cyber-défense ambitieuse avec la nouvelle Loi de Programmation Militaire, votée en 2013 par le Parlement et dont les décrets sont en cours d’élaboration. Elle va s’atteler à l’élaboration d’un cadre réglementaire que devront respecter les OIV. 

De la sécurité informatique à la sécurité industrielle

2015 est aussi l’année phare du passage d’une stratégie de cybersécurité, essentiellement orientée IT (Information Technology) jusqu’à présent, vers une stratégie plus globale, incluant l’OT (Operational Technology). Les frontières entre sécurité informatique et sécurité industrielle tendent, en effet, à disparaître.

La cybersécurité n’ayant pas été, ces dernières années, une préoccupation majeure pour le monde industriel, certaines installations présentent de nombreuses vulnérabilités. Comme dans l’informatique traditionnelle, il y a quelques décennies, les portes et les fenêtres sont aujourd’hui grandes ouvertes pour les hackers. Les attaques portées sur les systèmes industriels, les outils de production, les SCADA  et l’internet des objets, représentent des risques bien réels si les entreprises ne se tiennent pas prêtes et n’investissent pas davantage dans la protection de leurs réseaux industriels. L’apparition de concepts comme celui de « l’industrie 4.0 » doit impérativement s’accompagner d’une prise en compte des problématiques de cybersécurité dès les phases de designs initiaux des systèmes.

Le facteur humain, au cœur de la sécurité

Construire un système de sécurité fiable et compétitif dans le monde informatique d’aujourd’hui est un challenge extrêmement complexe. Il existe un large panel de logiciels, produits, solutions et services de sécurité qui remplissent des fonctions bien définies, mais leur utilisation n’assurera jamais à 100% l’invulnérabilité du système. Le point faible de toute stratégie est souvent le facteur humain. Celui-ci est, volontairement ou non, très souvent responsable du « succès » des attaques et peut réduire à néant les efforts passés à l’élaboration d’un système de sécurité fiable et résistant. Les utilisateurs sont les maillons essentiels de la chaîne de protection des actifs des entreprises et sont remis au cœur de la stratégie de sécurité. Ils doivent être sensibilisés aux règles d’hygiène informatique, à la discipline de suivi des processus et formés pour devenir des contributeurs actifs de la sécurité de leur entreprise.

RÉMY FÉVRIER

Quel regard portez-vous sur l’appropriation du numérique par les entreprises françaises ?

De manière globale, les entreprises françaises se sont appropriées les TIC et en ont fait un levier de création de valeur, notamment par la mise en place d’ERP et de portails Internet performants. Toutefois, cette évolution s’est le plus souvent traduite par une recherche d’efficacité optimale sans se préoccuper outre mesure de la sécurisation des données afférentes, qu’elles soient liées à des traitements internes (paie, comptabilité, R&D…) ou externes (fichiers clients, prospects, portail Internet…).
Quels sont les risques, pour les entreprises, d’une mauvaise sécurisation de leur système d’information ?
Le risque est majeur et peut même constituer une menace pour la pérennité de l’entreprise. Ainsi, une entreprise qui ne sécurise pas ses flux de données ou qui ne dispose pas d’une sauvegarde régulière « hors site » du contenu de ses serveurs peut rencontrer de gros problèmes. D’autant qu’en cas de perte ou de vol d’informations à caractère personnel, les dirigeants et les managers pourront voir leur responsabilité personnelle mise en cause, y compris si l’entreprise dispose d’un DSI. Trop d’entreprises sont atteintes de ce que j’appelle le « syndrome de la dernière ligne du tableur », c’est-à-dire une tendance à se focaliser sur les coûts induit par la sécurisation d’un système d’information, au sans tenir compte du fait qu’une absence de précautions sera encore beaucoup plus coûteuse, à terme, pour l’entreprise. Ce genre de raisonnement peut s’avérer extrêmement préjudiciable, à moyen terme.
Dans les ouvrages que vous avez publiés, vous insistez sur le fait que le principal risque, en matière de sécurité informatique, réside dans l’absence de précautions des utilisateurs : pouvez-vous nous en dire plus ?
Effectivement, en tant qu’ancien officier de gendarmerie d’active spécialiste du domaine, il m’est loisible de vous dire que les principales précautions à prendre sont autant d’ordres humain que matériel. En effet, la grande majorité des risques numériques trouvent leur source dans une absence de précautions relativement à l’utilisation des outils informatiques mis à disposition des managers et salariés.
Les entreprises prennent-elles conscience des enjeux et des risques ?
Malheureusement, cette prise de conscience que les pouvoirs publics appellent de leurs vœux est encore très faible parmi les dirigeants et managers français. On assiste néanmoins à un regain d’intérêt pour le sujet depuis l’émergence, sur l’agenda médiatique, de ce qu’il est dorénavant convenu d’appeler « l’affaire Snowden ». Depuis le début de ces révélations, je suis de plus en plus sollicité pour sensibiliser et former les managers et dirigeants à ces risques qui ne feront que s’amplifier au fil du temps, mais la route est encore longue avant que l’ensemble des cadres français s’approprient définitivement cette problématique.
Vous abordez, dans vos ouvrages, la question de la « e-réputation » : quels sont les risques encourus par les entreprises et leurs dirigeants ?
Le risque est tout simplement de subir des attaques informationnelles récurrentes soit à l’encontre des produits de l’entreprise, soit directement vis-à-vis de ses dirigeants. A l’instar de toute innovation technologique majeure, l’avènement d’internet apporte simultanément de grands bienfaits et de grands risques… Un des corollaires direct de la compétition économique que nous connaissons réside dans le fait que de plus en plus d’entreprises voient leurs produits et, plus inquiétant encore, leur dirigeants, faire l’objet de mises en cause directes sur Internet, par le biais des réseaux sociaux ou encore des forums. (Article complet: Journal de l’économie)

CHIFFRES CLÉS DE LA CYBERCRIMINALITÉ

Coût mondial 2014: 400 milliards $ (étude McAfee)

La cybercriminalité ponctionnerait chaque année entre 15 et 20% de la valeur créée par Internet

Manque à gagner emploi en Europe: 150 000 postes (200 000 aux US)

Le pays le plus touché est l’Allemagne avec 1,60% de son PIB impacté par la cybercriminalité. Le Japon est le pays qui s’en sort le mieux avec 0,02%.

Contrairement aux idées reçues, la France ne s’en sort pas si mal avec 0,11% de son PIB. C’est 6 fois moins que les États-Unis qui commencent à s’inquiéter très sérieusement des attaques comme celle, récente, de Sony Pictures. 

70% des objets connectés seraient vulnérables… on doit donc s’attendre en 2015 à une augmentation forte et rapide des attaques sur les objets connectés. Ces derniers étant intégrés à la vie quotidienne des utilisateurs, ils permettent de plus l’accès à des données de très haute valeur (comportements et consommations de l’utilisateur, données médicales…). Ils seront donc au cœur de nombreuses convoitises. (source: Global security mag

Publicités

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s