Vous vous apprêtez à lancer l’édition 2020 des PwC Cybersecurity Days, du 26 au 29 octobre, en plein cœur d’une crise inédite. L’importance de la cybersécurité a-t-elle justement évolué sous l’effet de la crise du Covid-19 et du confinement?
«Je retiens comme aspect positif de cette crise, qui reste par ailleurs difficile pour tous, que le Covid-19 a suscité un état d’esprit en faveur de l’adoption plus large de stratégies de cybersécurité. Cette crise a eu le mérite de créer les conditions propices à la discussion, là où nous n’obtenions que des résultats mitigés par le passé.
Comment expliquez-vous que les dirigeants ne se soient pas sentis plus concernés jusqu’ici par les questions de cybersécurité?
«Jusqu’à sa mise en place à grande échelle et de façon quasi instantanée, le télétravail était moins utilisé, notamment en raison des différences de législation entre le Luxembourg et ses voisins. Le télétravail massif a véritablement entraîné une prise de conscience de la part des dirigeants d’entreprise de la dépendance vis-à-vis de la technologie. Imaginez si nous devions également gérer une crise technologique en plus de la crise sociale et économique…
Par quoi passe la mise en place d’une stratégie de cybersécurité?
«Par le passé, la peur d’une attaque ou d’une impossibilité de continuer les activités a souvent été la cause première pour la mise en place d’une stratégie de cybersécurité. Mais la peur n’est que rarement bonne conseillère. C’est avant tout en impliquant les experts internes, notamment les Ciso et les DPO, ainsi que les utilisateurs – à savoir les employés – que l’on réussit à définir les procédures et les investissements nécessaires. Des investissements dont la valeur doit être comprise sur le long terme.
Nous avons vu que certaines entreprises n’étaient pas très avancées en matière de continuité des activités.
Quelle valeur peut apporter la mise en place d’une stratégie du genre?
«La valeur essentielle tient dans la disponibilité ou la continuation de l’organisation et de ses activités, même en cas de crise. Le télétravail, en tant que back-up, a transformé notre manière de travailler, et ce recours au travail à distance perdurera. Ce qui veut dire que les entreprises vont être obligées de mettre en place des mesures de protection adéquates. La stratégie de cybersécurité doit désormais être un des éléments de base de la stratégie globale de l’entreprise.
Les grandes entreprises sont-elles davantage «à jour» que les plus petites?
«Tout est question des spécificités de chaque organisation et de son appréhension du risque. Globalement, on peut dire que les grandes structures étaient mieux organisées au moment du confinement, mais nous avons vu que certaines n’étaient pas très avancées en matière de continuité des activités. Si bien qu’elles ont dû recourir rapidement à l’achat – parfois en grand nombre – de laptop et autres ‘devices’ mobiles pour permettre à leurs employés de télétravailler. Ce type de déploiement à court terme n’était pas sans risque sur le plan de la connectivité et de la sécurité des systèmes.
La cybersécurité passe par une stratégie, elle passe aussi par la sensibilisation des équipes…
«Une autre erreur commise par le passé est probablement de ne pas avoir suffisamment décliné le niveau de responsabilité à tous les échelons de l’entreprise. Chacun peut être un maillon efficace de la chaîne, tout comme il peut créer des problèmes. Ceci se vérifie aussi en télétravail, même si je pense – c’est une opinion personnelle – que les gens se sentent encore plus responsables à distance. Ils savent qu’ils contribuent à la continuité de la société, mais qu’ils peuvent aussi la mettre en péril en cas d’erreur.
Avec le recul, le RGPD a-t-il contribué à l’amélioration de la cybersécurité en entreprise?
«Indirectement, le RGPD a contribué à cette cause en suscitant la discussion sur la classification des données. Ce point est d’autant plus important lorsqu’une entreprise doit, comme c’est le cas avec le télétravail, déployer un réseau sur plusieurs pays. A contrario, j’observe qu’il manque encore une équivalence sur la classification des données (privées ou non) entre le RGPD et l’approche par les responsables de la cybersécurité en entreprise. Là où le RGPD va se concentrer sur les données privées, nous allons considérer l’ensemble des données. Il sera utile pour l’avenir de définir une approche commune afin d’être capable de désigner une donnée et son caractère privé ou confidentiel sans ambiguïté. Un débat à ouvrir.
Nous avons tout à gagner à nous fédérer au niveau européen, à l’instar du projet Gaia-X.
Face aux risques mondiaux de cybersécurité, l’Europe dispose-t-elle des armes pour se battre contre les attaques en provenance d’autres blocs?
«Oui. Nous assistons, déjà depuis un certain temps, à l’émergence et à la bataille entre deux géants, la Chine et les États-Unis. Ne sous-estimons pas non plus la place de la Russie, ni celle de l’Inde, ni celle d’Israël. L’Europe a peut-être trop fait confiance à la technologie provenant des deux blocs prédominants, ce qui a entraîné un déficit d’innovation technologique. Cette situation est plutôt dangereuse, car nous devrions être autonomes sur un certain nombre de points. Je pense au cloud. Nous n’avons pas d’alternative en la matière qui puisse protéger nos intérêts.
Peut-on rattraper ce retard?
«Comme le monde évolue vite, nous pouvons nous positionner et rattraper le retard dans certains créneaux, comme le ‘high-performance computing’ et le ‘quantum compunting’. Nous avons tout à gagner à nous fédérer, à l’instar du projet Gaia-X qui permet d’ailleurs de rassembler des concurrents pour créer quelque chose de novateur. J’ajoute que les notions de prix ou de coûts ne doivent pas être les seuls critères pour conduire des projets. La spécificité européenne doit tenir compte des éléments commerciaux, mais aussi de la gestion des données. Il faut accepter que ce cheminement de l’innovation coûte de l’argent et soit aussi parfois marqué par des échecs.
Qu’attendez-vous que les PwC Cybersecurity Days apportent aux participants?
«Nous avions initialement comme objectif d’organiser un événement fait par les Ciso pour les CEO. Après l’expérience de l’an passé qui nous a permis de réunir ces deux mondes, nous voulons consacrer l’événement de cette année à la question de ‘l’entreprise architecture’, pour mettre en lumière l’importance de prendre en compte l’élément cybersécurité comme l’un des éléments indispensables.
Nous remarquons en effet que les projets de digitalisation amènent à réfléchir sur l’architecture de l’entreprise, mais sans véritablement intégrer la sécurité dès le départ. Nous ne pouvons pas continuer de la sorte étant donné notre dépendance vis-à-vis de technologie. Si le ‘chief data officer’ occupe désormais une place cruciale, nous ne pouvons plus négliger celle du Ciso.»