La cybersécurité, bientôt un réflexe pour les entreprises ?
À quelques jours de la 9e édition du Forum international de la cybercriminalité, nous avons interviewé son fondateur, le général d’armée Marc Watin-Augouard. Ancien inspecteur général des armées-gendarmerie, il a animé un groupe de travail qui a contribué à la rédaction, en 2005, du rapport de Thierry Breton sur la cybercriminalité. Expert dans le domaine, il est revenu sur la nécessité pour les entreprises, institutions et collectivités territoriales de se protéger contre les cyberattaques.
La Gazette. À la création du FIC, en 2007, parlait-on déjà de cybercriminalité ?
Marc Watin-Augouard. En janvier 2005, des chefs d’entreprise se réunissaient déjà autour de cette thématique. Comme le nombre de participants augmentait, l’idée d’un forum a germé, soutenue par Jacques Barrot, ancien ministre et ex-commissaire européen. L’aide financière apportée par l’Europe a permis au FIC de se développer à Lille, rapidement complétée par la Région, désireuse d’une ambition numérique pour le Nord − Pas-de-Calais. Quand l’Europe ne nous a plus soutenus financièrement, nous nous sommes rapprochés du CEIS, la Compagnie européenne d’intelligence stratégique, coorganisateur depuis 2013 (voir encadré).
Combien de visiteurs se sont-ils rendus sur le salon en 2016 ?
Près de 6 000. Pour cette année, nous avons déjà plus de 4 000 inscrits et 350 entreprises partenaires. La surface d’exposition augmente de 10% chaque année. En deux jours, le FIC rassemble un salon de l’innovation en matière de cybersécurité, trois plénières et des ateliers. Il devient un rendez-vous institutionnel et un lieu d’échange entre les autorités et les décideurs.
Comment les entreprises, institutions ou collectivités territoriales prennent-elles le virage de la transformation numérique et ont-elles conscience de la nécessité de se protéger ?
Tout le monde est sensibilisé aux risques cyber, mais peut-être davantage pour les autres que pour soi. Il n’y a pas que les grands groupes qui sont touchés ! Une PME, sous-traitante, peut aussi être cyberattaquée. Les start-up et les PME peuvent être bien plus intéressantes pour un prédateur que des entreprises du CAC 40 qui vont chercher leurs innovations dans ces petites structures ! À mon sens, ce qui pose problème, c’est le manque de prise de conscience de l’accélération du développement de la transformation numérique. Nous passons d’une rupture technologique à une autre. Et cela échappe encore à la capacité de décision des entreprises et des institutions. Le système de formation ne progresse pas aussi vite que le besoin et je crains que l’on ne soit dépassés.
Pourquoi ?
De plus en plus d’universités et de grandes écoles forment à la cybercriminalité, mais on est encore loin du compte, même si des masters se créent pour former des data scientists. La cybercriminalité ne concerne pas uniquement les masters informatiques. On forme une génération qui sera aux commandes dans dix ans sans avoir conscience de l’impact de la transformation numérique. Je suis moi-même enseignant et j’ai introduit ces notions dans le cursus. L’Union européenne a annoncé qu’en 2020, il manquera 900 000 emplois dans le numérique faute de formation adéquate. Oui, le numérique détruit les emplois de faible qualification mais il en crée de nouveaux.
Revenons à la prévention des entreprises. Comment peuvent-elles se prémunir des cyberattaques ?
Il faut casser l’idée que la cybersécurité coûte trop cher. C’est un coût moins important que celui d’une perte de données. Je pense que la première chose à faire, c’est de former, d’informer et d’associer le personnel. L’expérience montre que des problèmes malveillants peuvent venir par mégarde de l’interne. Chacun contribue à la cybersécurité de l’entreprise. Cela peut paraître évident, mais il ne faut pas insérer une clé USB dont on ignore la provenance ! Il faut avoir une «hygiène informatique» ! Ensuite, l’entreprise doit travailler sur ses données et savoir comment les hiérarchiser. Des données volées, c’est la mort de l’entreprise ! Elle peut aussi utiliser des firewalls, des logiciels de gestion des mots de passe ou recourir à la crypto.
Et pour les collectivités ?
Certaines collectivités territoriales se regroupent pour mutualiser leur cybersécurité. On peut aussi rapprocher ce fonctionnement de celui des incubateurs, qui proposent aux start-up un système sécuritaire environnant.
Dispose-t-on de données chiffrées sur le nombre d’entreprises cyberattaquées ?
Malheureusement non. Quand elle est attaquée et que ses données sont copiées, l’entreprise ne le sait pas toujours. Et si elle communique, il y a toujours le risque d’une perte de confiance des clients et des fournisseurs. Cependant, les entreprises ont l’obligation légale de déclarer les vols de données à caractère personnel.
Que penser des objets connectés, devenus incontournables du quotidien ?
Révolutionnaires dans notre façon d’aborder le quotidien, ces nouveaux objets sont aussi des collecteurs de données personnelles… Certes, il y a un danger pour l’intimité. L’attaque informatique du 21 octobre 20161 aurait transité par des centaines de milliers d’objets connectés. Oui, l’objet connecté peut être source de criminalité. Prenez aussi le cas de l’hébergeur internet OVH, frappé d’une attaque massive en septembre 2016 à travers plus de 150 000 caméras connectées à distance…
Une cyberattaque est-elle forcément synonyme de la mort de l’entreprise ?
La structure qui dispose d’un plan de reprise d’activité peut survivre. Mais quand une entreprise subit une escroquerie au faux virement, elle se fait piller ses liquidités et perd ainsi la confiance de ses clients… J’espère que demain, la cybersécurité d’une entreprise sera perçue comme un avantage de compétitivité et non comme un coût.
- Une attaque informatique massive a paralysé le Web, essentiellement aux Etats-Unis. De type «déni de service» − saturer un service de connexion pour le rendre inaccessible −, elle a visé plus spécifiquement les services de Domain Name System de l’entreprise Dyn.
ENCADRE 1
Les temps forts du salon
− Conférence plénière d’ouverture avec les interventions de Guillaume Poupard, directeur général de l’ANSSI, et Stéphane Richard, président directeur général d’Orange, sur le thème : «The day after : scénarios prospectifs de la cybersécurité en 2020», mardi 24 à 9h.
− Le véhicule connecté et ses nouveaux usages, en toute sécurité (mardi 24 à 11h45)
− «L’Europe numérique : entre rêve et réalité», mercredi 25 de 9h30 à 11h
− «Sécuriser l’usine 4.0», mercredi 25 à 16h.
− Le prix de la PME innovante : un espace dédié aux démonstrations de solutions innovantes
− 30 ateliers, 20 conférences, 20 démonstrations techniques, plus de 300 intervenants…
Les 24 et 25 janvier à Lille Grand-Palais. www.forum-fic.com.
ENCADRE 2
Près de neuf entreprises sur dix ne jugent pas leur service de cybersécurité optimal
Fin décembre 2016, EY a publié les résultats de son étude annuelle «Global Information Security Survey» (GISS), réalisée entre juin et août 2016 auprès d’un panel de 1 735 répondants de plus de 20 secteurs d’activité. 57% des répondants déclarent avoir rencontré un incident en matière de cybersécurité, 48% citent les contrôles de sécurité ou l’architecture comme les grands domaines présentant des vulnérabilités (+34% par rapport à l’édition 2015). Malgré des investissements conséquents, 86% des interrogés estiment que leur système d’information ne répond pas pleinement aux besoins de leur organisation en matière de cybersécurité. 55% déclarent ne pas avoir les moyens d’identifier les vulnérabilités. Si 57% des répondants considèrent la poursuite des opérations et la reprise après un sinistre comme une priorité élevée, seulement 39% prévoient d’investir davantage.