BRAND VOICE — ENTREPRISES & STRATÉGIES — Finance & Légal

BDO

Crise sanitaire et cybersécurité des entreprises



Benoit Wtterwulghe, associé, et Guy Samson, directeur et spécialiste en sécurité informatique au sein de BDO. Crédit: BDO, montage photo Maison Moderne

Benoit Wtterwulghe, associé, et Guy Samson, directeur et spécialiste en sécurité informatique au sein de BDO. Crédit: BDO, montage photo Maison Moderne

La crise sanitaire a fait basculer les entreprises dans une digitalisation forcée de leurs activités. Si ce changement fut salvateur, il fut fait dans l’urgence, ouvrant ainsi souvent des failles de sécurité conséquentes. Ce sont ces problématiques de cybersécurité que nous évoquons aujourd’hui avec Benoît Wtterwulghe associé et Guy Samson, directeur et spécialiste en sécurité informatique chez BDO.

L’un des grands «gagnants» de cette crise sera sans aucun doute la digitalisation. Peut-on revenir sur ce bouleversement aussi soudain que salvateur pour les entreprises, ce qui a fonctionné, ce qui pose encore problème?

Benoît Wtterwulghe: Nous assistons en effet à un changement de paradigme qui s’est opéré de façon contrainte, même si beaucoup de sociétés allaient en ce sens, notamment en ce qui concerne le télétravail et les solutions de partage électroniques. Évidemment aujourd’hui, les mesures de confinement ont forcé beaucoup de sociétés à mettre en place le télétravail qui est devenu «la norme» alors qu’il était l’exception il y a encore quelques semaines. Cela a donné lieu à beaucoup de créativité et d’inventivité, ce qui montre la forte capacité d’adaptation de l’Homme en temps de crise. Comme beaucoup de solutions ont été déployées dans l’urgence, cette situation a aussi donné lieu à l’augmentation et l’apparition de nombreux risques et des failles de sécurité pour les entreprises. Ces risques sont encore plus importants pour les acteurs non préparés. Par ailleurs, le flou entre la vie privée et de la vie professionnelle amène également de nombreuses problématiques. Ceci est d’autant plus vrai pour les salariés devant s’occuper de leurs enfants en même temps que de leur travail. Plusieurs études ont montré que les gens étaient moins alertes à leur domicile en ce qui concerne la sécurisation de leurs données professionnelles. Prenons par exemple, l’utilisation de boites mail privées, l’utilisation de matériel privé moins sécurisé et la confusion possible entre mail privé et mail professionnel qui augmente évidemment le risque de phishing.

Le travail à distance forcé, dû à la crise sanitaire, a fait naître beaucoup de créativité mais aussi de nombreux risques de sécurité pour les entreprises.
Benoît Wtterwulghe

Benoît Wtterwulghe,  Associé,  BDO

Qui dit digitalisation totale de l’activité, dit logiquement risques plus élevés en cas de piratage. Comment s’y préparer et lutter contre ces risques?

Guy Samson: Ce nouveau modèle de fonctionnement dont vient de vous parler Benoît a créé de nouveaux risques et en a amplifié d’autres. En effet, dans une dynamique de continuité bien légitime, les employés trouvent des solutions sans pour autant se rendre compte de tous les risques. Les pirates informatiques qui sont très réactifs et inventifs ont mis en place de nombreux moyens pour profiter de la situation. Par exemple, des campagnes de phishing ciblées COVID19 pour obtenir des renseignements personnels ou exploiter les failles de contrôle interne créées par la distanciation sociale (pour valider les paiements des factures par exemple) ou des attaques pour exploiter les vulnérabilités des connexions à distance ou du matériel personnel moins sécurisé. La question que doivent se poser les entreprises n’est pas de savoir si elles seront piratées mais quand elles le seront et à quoi les pirates auront accès, comment le piratage sera détecté et quelles seront les réactions à avoir. Il est assez clair que dans la situation actuelle, il est recommandé de travailler avec une connexion sécurisée entre l’employé et son organisation ou son réseau. La sécurité d’une connexion à distance se réalise entre autres avec une authentification forte, qui va au-delà d’un identifiant et d’un mot de passe, qui se fait par exemple à l’aide de logiciels spécialisés qui génèrent des identifiants aléatoires. Enfin, la précipitation dans laquelle s’est opérée la mise en place de ces nouvelles solutions fait que la plupart des salariés n’ont pas été formés aux nouveaux outils dont ils disposent pour travailler aujourd’hui, augmentant encore le risque de fraude. C’est pour cela qu’en plus d’une connexion sécurisée il y a des éléments-clés à mettre en place comme par exemple protéger les données qui restent sur les ordinateurs portables utilisés pour le travail à distance et disposer d’un monitoring des systèmes, des flux d’accès et de transactions pour identifier les comportements anormaux. La vigilance sur les flux doit être plus importante dans la mesure où, depuis le début du confinement, une majorité de la vie de l’entreprise vient de l’extérieur alors qu’avant, c’était une exception.

Selon vous, le Luxembourg est-il suffisamment armé en termes de cybersécurité?

Benoît Wtterwulghe: Les sociétés régulées, comme les banques, sont plutôt mieux protégées que les autres qui peuvent présenter des failles plus importantes. Les pirates connaissent cette faiblesse particulière des petites et moyennes sociétés qui deviennent donc des cibles privilégiées.

Guy Samson: Cela dit, globalement les sociétés commerciales et industrielles luxembourgeoises disposent malgré tout d’un niveau de cybersécurité relativement conséquent, que ce soit d’un point de vue technique pur ou bien de spécialistes qui maîtrisent ces techniques. Mais j’ajouterais que très souvent, c’est le facteur humain, le comportement de l’utilisateur, qui est le vecteur du risque. Et en cela, le Luxembourg n’est ni moins ni plus préparé que ses voisins européens. Nous n’avons malheureusement à ce jour pas de chiffres comparatifs, ce qui est d’ailleurs un problème. Les hackers communiquent énormément entre eux alors que les sociétés entre elles ne le font pas assez spontanément et ouvertement. La réactivité et l’adaptabilité dans la cybersécurité sont des éléments primordiaux. Nos clients au Luxembourg ont surtout été impactés par l’urgence de la mise en place et dans certains cas par la non-préparation ou la couverture partielle de la solution de travail à distance avec tout ce que cela peut comporter au niveau technique et organisationnel.

La question que doivent se poser les entreprises n’est pas de savoir si elles seront piratées mais quand elles le seront et à quel point elles sont vulnérables.
Guy Samson

Guy Samson,  Directeur,  BDO

Racontez-nous comment BDO s’est-elle adaptée à ce nouveau paradigme, d’abord en ce qui concerne sa structure interne, puis quant à son offre client?

Guy Samson: BDO avait la chance d’avoir introduit la possibilité pour ses employés de faire du télétravail avant la crise. L’état d’esprit et les outils étaient donc présents et les employés formés. En revanche, le fait de mettre tous les salariés simultanément au télétravail n’était bien sûr pas attendu. Il a donc fallu faire preuve d’agilité. Ce fut une charge de travail conséquente pour nos équipes informatiques.

Benoît Wtterwulghe: Au sein de BDO Advisory, nous avons étudié et analysé quels étaient les risques accrus ou les nouveaux risques émergents liés spécifiquement à la situation actuelle, et nous avons fait une offre de service pragmatique ciblée pour «fermer les grandes portes» en priorité. Nous avions déjà une offre liée à la cybersécurité que nous avons développée pour répondre aux besoins spécifiques à travers une évaluation méthodologique. L’évaluation passe notamment par une checklist qui permet à toute organisation d’avoir une visibilité assez rapide sur la situation de risque dans laquelle elle se trouve et de définir des plans d’action. Nous disposons de modules d’éducation pour former les salariés à ne pas tomber dans le piège du phishing et nous les avons adaptés à la situation actuelle pour faciliter la bonne application immédiate. Nous envoyons des campagnes de phishing factices pour voir quelles sont les réactions des personnes qui les reçoivent et renforcer l’impact de la formation. Des pénétrations testing plus techniques et ciblées nous permettent aussi de dresser une image précise de la sécurisation des systèmes d’un client avec le cas échéant une analyse plus poussée d’un composant. Le panel de services offerts est large et permet de s’adapter aux besoins et à l’environnement de chaque société.

Retrouvez plus d’informations en visitant le site  www.bdo.lu