Stratégie

Pour Deloitte, la gestion des cyber-risques est une opportunité pour le business des entreprises

Michael Bittan, associé cyber-risques chez Deloitte (à gauche), et Fouzi Akermi, consultant, ont détaillé l’approche de la cybersécurité de leur cabinet.

Le cabinet Deloitte a mené une étude sur les enjeux 2016 de la cybersécurité qui a débouché sur une approche s'appuyant sur les bénéfices métier. L'approche par la peur ne permet en effet plus de justifier des projets et donc de les budgéter.

Publicité« La peur a été trop utilisée par le passé pour vendre des projets de sécurité IT et cela ne fonctionne plus » a constaté Michael Bittan, associé cyber-risques chez Deloitte, en présentant l'étude Enjeux Cyber 2016. Pour lui, « il faut sensibiliser par les effets », par les opportunités business ouvertes par une bonne cyber-sécurité. « Des start-up géniales ont été interdites d'entrer au sein de certaines grandes entreprises simplement parce qu'elles n'étaient pas certifiées ISO 27001 ou n'avaient pas réalisé d'audits de sécurité » a-t-il ainsi mentionné en exemple. Mais d'une manière plus générale, des clients seront forcément réticents à travailler avec une entreprise dont la sécurité n'est pas éprouvée. Une bonne cyber-sécurité permet donc de gagner des contrats et, de plus, contribue à la performance des équipes.
S'il est évident que le risque zéro n'existe pas, il est tout de même nécessaire d'adopter de bonnes pratiques dans une triple optique défendue par le cabinet Deloitte. Le tryptique est « sécuriser, vigilance et résilience ». Bref, il s'agit de focaliser son attention sur ce qui est important, de réduire les risques maîtrisables et d'anticiper les conséquences d'une cyber-attaque. Typiquement, une manoeuvre de sensibilisation consiste à « perdre » de belles clés USB sur le parking d'une entreprise et, ensuite, de demander qui a branché la clé trouvée sur son PC sans plus de question. Ce genre d'exercice est plus profitable que des affiches et des chartes.

Des menaces variées et souvent cachées

Si les classiques piratages de terminaux (y compris de terminaux automatiques comme les distributeurs automatiques de billets, les DAB), injections de code malveillant dans des formulaires, vols de bases de données ou ransomwares sont bien connus, il existe bien des menaces sous l'horizon de visibilité des principaux responsables d'entreprises. Par exemple, les « failles zero-day », les « failles hardware », les failles volontaires de type rootkit/backdoor, les compromissions par volonté de nuire ou imprudence d'un utilisateur légitime, les failles IoT et les infections de mobiles.
Face à ces menaces, des solutions et des services sont proposés aux entreprises pour une valeur mondiale de 82 milliards de dollars. Ce montant n'est pas près de baisser, alors que le budget sécurité continue d'augmenter dans plus dela moitié des entreprises (et de baisser dans un cas sur dix), d'autant que l'accroissement de la sécurité est nécessaire pour permettre à l'entreprise d'adopter un modèle agile de business, donc un modèle où l'on ne se pose pas trop de questions à chaque initiative visant à accroître la performance de l'entreprise et sa compétitivité. Si la « transformation digitale » est prioritaire dans 58 % des entreprises (1er choix : l'amélioration des résultats financiers pour 61%), celle-ci sous-entend des pratiques risquées comme le « cloud », le « SaaS, l'« IoT », la « mobilité », etc. Les entreprises ne contrôlent donc plus les infrastructures qu'elles emploient. Mais la cyber-sécurité n'est la priorité que dans 12 % des entreprises. Même si un quart des répondants déclarent que le sujet est porté par la Direction Générale, c'est bien la DSI qui en est responsable dans les deux-tiers des cas.

PublicitéAllécher et décevoir par la sécurité

Malgré tout, rien ne vaut une belle déception sécuritaire pour tuer un produit séduisant. Ainsi, 16 verrous connectés pouvant s'ouvrir par smartphone et une application hébergée dans le cloud ont pu s'ouvrir lors d'un test réalisé au CES, certains par un simple tournevis, d'autres grâce à des failles extrêmement basiques dans le système de pilotage. Sous tous les mots clés du marketing du moment (cloud, SaaS, IoT...), il y avait surtout une absence de démarche « sécuriser par conception » [secure by design], une absence d'audit avant le lancement et, bien entendu, une absence de certification.
Pourtant, bon nombre d'entreprises (notamment les nombreux opérateurs d'importance vitale, les OIV) font face à des obligations réglementaires croissantes. Avec des sanctions considérables en cas de manquements. Et les analyses d'écarts avec les exigences réglementaires révèlent parfois des besoins de chantiers considérables. « Il est inédit qu'une loi de programmation militaire, la dernière en l'occurrence, consacre une telle place à la cyber-sécurité » a relevé Michael Bittan. Or le marché des compétences en sécurité est déjà tendu et « tout le monde va devoir se mettre en conformité en même temps » selon l'associé. Et, bien entendu, il convient de toujours rappeler que la conformité réglementaire est toujours insuffisante, qu'il faut la compléter par des mesures spécifiques.

L'enjeu de la protection des données

Un bon exemple est la sécurité des données. Données clients, données des employés et obligatoire réglementaire imposées par la CNIL sont bien identifiées comme points de vigilance mais les impacts sur les capacités opérationnelles, sur la propriété intellectuelle, sur les risques d'espionnage ou les manquements contractuels le sont beaucoup moins. Les données clients sont ainsi considérées comme critiques par 40 % seulement des répondants à l'enquête Deloitte et les données de propriété intellectuelle par un tout petit 10 % !
Face à ce type d'enjeux, seulement 25 % des répondants sensibilisent leur personnel. 45 % ont développé une véritable gestion des identités et des accès, 15 % ont déployé une DLP (prévention de la perte de données, data loss prevention) et 15 % une organisation interne orientée sur le sujet. Or, avec le nouveau règlement européen sur la protection des données, des données personnelles doivent, pour être traitées, avoir été collectées avec le consentement explicite des individus et toute faille dans les traitements doivent leur être déclarées.

Une véritable gestion des identités et des accès

La volonté de déployer une véritable gestion des identités et des accès est appuyée par Deloitte qui plaide pour une authentification unique centralisée. Pour Michael Bittan, « c'est le pivot de la sécurité car, sans cela, on finit avec des mots de passe sur les post-it car les collaborateurs refusent de se souvenir de cinquante identifiants. Bien entendu, une authentification forte multi-facteurs doit être requise pour les applications et les données les plus critiques. » La biométrie doit être utilisée avec prudence car, oui, c'est souvent piratable (notamment l'empreinte digitale) et doit être vue comme un troisième facteur en plus d'un mot de passe et d'un élément physique (carte à puce...). Elle n'est d'ailleurs utilisée que par 5 % des entreprises interrogées contre 31 % pour la fédération d'identité.

Le 6 décembre 2016, CIO organise un atelier participatif Cybermenaces : savoir les affronter - Réagir avec pragmatisme et efficacité.
Le 28 février 2017, CIO organise une Matinée Stratégique Cybersécurité - Menaces évidentes, menaces cachées.

A propos de l'étude

L'étude Enjeux Cyber 2016 - La face cachée de la cybersécurité a été réalisée par le cabinet Deloitte. Elle est basée, pour sa partie enquête, sur l'interrogation de 40 organisations dont 90 % de plus de 500 millions d'euros de chiffre d'affaires, 70 % de plus de un milliard. Il y a une nette prédominance du secteur financier dans l'échantillon (38%) et une sous-représentation de l'industrie (5%). 80 % des répondants sont RSSI, 10 % DSI. La quantité de répondants oblige à prendre les chiffres avec prudence au delà de tendances générales, même si le niveau de chiffres d'affaires exigé restreint fortement la population étudiée.

Le 6 décembre 2016, CIO organise un atelier participatif Cybermenaces : savoir les affronter - Réagir avec pragmatisme et efficacité.
Le 28 février 2017, CIO organise une Matinée Stratégique Cybersécurité - Menaces évidentes, menaces cachées.