Stratégie

Pour Deloitte, la gestion des accès est la clé de la cyber-sécurité

Michael Bittant, associé chez Deloitte, note que les DG ne veulent plus d'empilement de mesures de sécurité (photo DR).

Dans son rapport annuel, Deloitte met en avant la gestion des accès comme la clé de la cyber-sécurité.

PublicitéEn interrogeant 403 entreprises françaises sur leur perception de la cyber-sécurité, le cabinet Deloitte a voulu dresser un état des lieux et livrer son analyse des préoccupations des RSSI. Un mélange de données, de chiffres et de commentaires par Michael Bittan, Associé responsable des activités cyber-sécurité chez Deloitte France. Pour lui, plusieurs idées dominent le paysage de la cyber-sécurité : sa complexité, l'ampleur des attaques, la sensibilisation effective dans les directions générales. Mais aussi le besoin de rappeler les fondamentaux, par exemple l'importance de la gestion des accès, le sujet n'est pas nouveau mais reste la clé de la cyber-sécurité. Si cette gestion présente des défauts, tout le monde est infecté.

Selon le cabinet, 71% des entreprises interrogées ont subi un nombre d'attaques en hausse en 2017, par rapport à 2016. Les attaques sont médiatisées, les entreprises se sentent concernées au plus haut niveau, et de nouvelles règles apparaissent : RGPD, LPM (Loi de programmation militaire de 1976 qui va être renforcée pour les OIV), NIS (directive européenne sur les OIV), DSP2 (directive européenne concernant les FinTechs et les services d'agrégation), Swift sécurisé (Swif, le réseau interbancaire d'échanges renforce ses règles de sécurité). Si le RGPD est en cours d'intégration, avec une échéance au 25 mai prochain, les quatre autres entrent en vigueur dès ce mois de janvier. La régulation exerce une pression forte en ce début d'année.

Intégrer la sécurité dès la conception

Nouvelle tendance, les mesures de sécurité se prennent dès l'adoption des nouvelles technologies, comme l'IoT ou la blockchain, c'est ce qu'on appelle le « secure by design », sécurité dès la conception. Elle est appliquée également dans les composantes métier. La sécurité ne se fait donc plus de la même manière. Les récentes grandes attaques, Wanacry et Petya ont incité 75% des entreprises à adopter de nouvelles mesures de sécurité. Mais, remarque l'étude, 56% des entreprises interrogées mettent en avant la formation et la sensibilisation des salariés, 35% la nomination de nouveaux responsables, 16% seulement le chiffrement des données.

Et la cyberassurance ? « Si je ne peux pas protéger, est-ce que je peux assurer ? » demande Michael Bittan. La réponse est encore faible, 24% des entreprises interrogées ont une cyberassurance. Pas de demande forte mais, précise le patron de la cybersécurité chez Deloitte, une demande des PME et ETI, les grands groupes étant pourvus. Et cette procédure de cyberassurance compte deux aspects, l'un pour la réparation sous 72 heures en cas de faille, l'autre de remboursement. Dans ce dernier cas, les deux parties se passent d'audit, trop long et couteux, mais évaluent les dommages, chacun avec son expert, dont le paiement est prévu dans le contrat. Cette cyberassurance porte, d'après l'enquête, d'abord sur la protection des données et la propriété intellectuelle.

PublicitéL'attaque et ses impacts

Le cabinet insiste également sur les impacts liés à l'attaque qui doivent être réglés rapidement, juste après la gestion immédiate, et avant celle du rétablissement durable de l'activité. Cette dernière étape peut prendre quelques temps.

Dans ce paysage, le cabinet Deloitte note le recours à des technologies nouvelles en matière de sécurité. Par exemple le cloud et ses formules en SaaS, le prédictif dans la gestion des données (encore faiblement utilisé), et l'authentification forte. Des choix intéressants et efficaces, sauf que les directions générales ne veulent plus d'empilement des couches de sécurité. Sont-elles alors sensibles à l'apport des start-ups ? Deloitte a réuni en début de semaine des DSI sur ce sujet. Une question domine : comment intégrer les start-ups dans une DSI sans les tuer ? Sans faire disparaître leur originalité dans les process en place. L'exercice est donc délicat. Et Deloitte conseille aux start-ups de cesser de s'affirmer différenciantes, mais plus simplement de montrer comment elles le sont.