Aux Assises de la Sécurité des SI, le CIGREF lève le voile sur ses actions de sensibilisation à la cybersécurité
Dans le cadre de la table ronde proposée par le CIGREF, Pascal Buffard, son Président, rappelle à quel point la cybersécurité est une préoccupation pour le Réseau de grandes entreprises.
Il ajoute : « Mais le CIGREF prend également des initiatives qui visent à sensibiliser les collaborateurs de ses entreprises membres aussi bien que l’ensemble des citoyens, car nous considérons qu’en matière de sécurité, l’humain est à la fois la plus grande faiblesse et le meilleur rempart ». Il évoque notamment les partenariats avec le Centre des Hautes Etudes du Cyberespace (CHECy) ou encore avec l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ) qui propose une formation sur la « Sécurité des usages numériques », (Rapport des auditeurs de la dernière session, information et inscription à la 5ème session).
Des nouvelles du serious game « Keep An Eye » pour sensibiliser les collaborateurs de l’entreprise à la cybersécurité
Autre action de sensibilisation à la cybersécurité conduite par le CIGREF, celle-ci à destination des collaborateurs de l’entreprise, c’est le développement d’un serious game qui permettra à chacun de « devenir ange gardien de la sécurité de son entreprise » !
Pascal Buffard rappelle que « ce serious game avait été annoncé aux Assises 2013. Grâce à un financement participatif, ce jeu sera disponible au premier trimestre 2015. Il faut souligner que ce sont plus de 40 entreprises qui ont choisi de soutenir notre initiative ». Le jeu sérieux pourra donc être proposé à tous les collaborateurs de ces entreprises.
Une étude prospective « Entreprises et Cybersécurité » à l’horizon 2020
Depuis janvier 2014, le CIGREF mène une étude prospective en partenariat avec Futuribles international. Cette étude prospective est destinée à développer des scénarios relatifs au mode de gouvernance de la Cyber sécurité pour les entreprises à l’horizon 2020. Pascal Buffard explique que 11 grandes entreprises membres du CIGREF sont étroitement associées à cette étude novatrice.
Le rapport final de cette étude est annoncé pour la fin de l’année, mais le CIGREF a souhaité présenter « en avant-première » les principales variables que nous avons identifiées et qui serviront à l’élaboration des scénari.
Les principales variables identifiées : menaces, vulnérabilités, environnement extérieur
Trois intervenants se succèdent pour expliquer ces principales variables :
- Marc LEYMONERIE, Chief Information Security Officer – Air France KLM CIO Office, pour les variables liées aux « menaces »
- Michael BELLOT, RSSI du Groupement des Mousquetaires, pour les variables relatives aux vulnérabilités
- Matthieu BOUTIN, Chargé de mission CIGREF, pour celles liées à l’environnement extérieur.
Quelles sont les « Menaces » ?
Marc Leymonerie, RSSI d’Air France, distingue trois types de menaces : le cybercrime, le cyberactivisme et la menace liée aux états.
Le cybercrime regroupe toutes les activités constitutives d’infractions pénales opérées depuis le cyberespace à l’encontre d’individus ou d’organisations, dont le cyberespionnage industriel mené contre les entreprises. Ces manœuvres sont souvent destinées à une exploitation et/ou commercialisation des données sensibles.
Le cyberactivisme consiste en des attaques à l’encontre de systèmes informatiques, conçues par ceux qui les perpétuent comme une forme de protestation au nom d’un intérêt affirmé. En causant d’importants dommages, elles représentent donc un risque significatif pour l’entreprise. Elles peuvent également représenter un dommage e-réputationnel conséquent.
La menace liée aux états, ou cyberguerre, regroupe l’ensemble des actions offensives menées par les états dans le cyberespace à des fins souveraines. On constate un renforcement de la cyberdépendance des armées et des états ainsi qu’un développement des capacités cyberoffensives et défensives des états les plus avancés.
Quelles sont les vulnérabilités ?
Michael Bellot, RSSI du Groupement des Mousquetaires distingue à son tour trois types de vulnérabilités. Celles qui relèvent de l’organisation des données en entreprise, la mobilité et le BYOD (Bring Your Own Device), ou encore les collaborateurs.
Avec la transformation numérique, la gestion des données est une composante clé dans les PSSI des entreprises. En effet, de grands dégâts sont faits par le vol et le sabotage des données. Le marché des données personnelles est susceptible de tripler d’ici 2020. La question est donc de savoir l’attention que les entreprises vont porter à leurs données et le mode de gestion qui sera utilisé.
On constate une utilisation croissante des technologies mobiles dans l’entreprise. Ces technologies favorisent notamment le travail hors entreprise, sur le travail à domicile en dehors des heures de travail ou l’utilisation d’un équipement personnel. Les risques associés sont d’ordre juridique, RH, organisationnels, et relèvent même de la santé. Sur le plan cyber, le risque concerne la fuite d’informations, le vol et la perte d’équipements, les virus… Actuellement, les entreprises sont dans une phase intermédiaire dans la transformation mobile. Par exemple avec l’émergence des Tiers Lieux, qui sont des espaces organisés et facturés pour le télétravail, et l’explosion des objets connectés. L’encadrement des usages et comportement sera une des problématiques des années à venir.
Aujourd’hui, les collaborateurs utilisateurs des systèmes d’information sont encore peu sensibilisés aux risques IT. Des audits menés sur la gestion des comptes montrent très souvent des dysfonctionnements par rapport à la sécurité des systèmes d’information. De plus, les sous-traitants n’ont pas le même niveau d’engagement et ne se sentent pas investis de la même manière face à la sécurité de l’entreprise.
Quelles sont les ruptures liées à l’environnement extérieur ?
Matthieu BOUTIN, Chargé de mission CIGREF, évoque les menaces liées à l’environnement extérieur : l’évolution géographique d’internet physique et virtuelle, les progrès techniques en informatique et diffusion, la réglementation et le droit applicable aux entreprises.
L’extension géographique d’internet s’est faite avant tout vers et à partir des pays les plus avancés technologiquement. L’extension physique comprend les routeurs, câbles, serveurs, etc. L’évolution virtuelle pose la question des registres nationaux, du nombre de sites par pays, etc. La balkanisation du net aujourd’hui est de plus en plus présente, notamment visible avec l’apparition de noms de domaine en alphabet non latin. Cela pose la question de la gouvernance d’internet, avec la volonté de certains Etat d’aboutir à un système où chacun contrôlerait plus directement sont Internet « national ». Des ruptures pourront être apportées par l’adoption massive d’IPv6.
L’innovation technologique ne cesse de s’accélérer entrainant rapidement l’obsolescence des logiciels et des matériels. L’augmentation de la puissance de calcul, des capacités de stockage et la capacité de transfert de l’information à travers des réseaux se font dans un contexte de baisse de prix. Cela a des conséquences sur la cybersécurité des entreprises car le matériel devient rapidement obsolète sans toujours être remplacé. La diffusion du progrès technique plus rapide dans le grand public que dans les entreprises entraîne une augmentation du shadow IT, sans prise de conscience des risques engagés.
Les obligations légales pour les entreprises en termes de cybersécurité sont multiples : obligation de déclarer les cyberagressions, protection légale des données personnelles, taxation des données personnelles, etc. En France, les obligations en matière de gestion des données personnelles sont principalement pilotées par la loi « informatique et libertés ». La DSI doit établir une cartographie des flux de données à l’intérieur et à l’extérieur de l’entreprise et évaluer les risques et menaces pouvant peser sur les données personnelles dont l’entreprise est responsable.
Un projet de règlement européen pour moderniser la législation sur l’utilisation et la protection des données personnelles dans l’UE est en préparation. Il permettra une harmonisation de la législation sur la cybersécurité. Les ruptures envisagées sont l’élargissement des normes de sécurité imposées à l’ensemble des entreprises ainsi que l’amélioration des technologies de détection des attaques.
En conclusion…
C’est sur ces variables que l’étude prospective « Entreprises et Cybersécurité », conduite avec Futuribles, va s’appuyer pour proposer des scenari destinés à la mise en œuvre des stratégies de cybergouvernance pour les entreprises 2020.