La digitalisation croissante de nos sociétés n’a pas seulement déplacé l’économie dans l’espace numérique, elle y a aussi attiré les criminels. Aujourd’hui, il n’est pas une semaine qui passe sans que l’on évoque l’une ou l’autre attaque informatique conduisant à des fuites de données, à l’immobilisation opérationnelle d’une entreprise, ou encore à des demandes de rançon. Et toutes les cyberattaques ne sont pourtant pas ébruitées… Cela signifie que la menace, désormais, est omniprésente. Qui plus est, elle est bien plus organisée qu’il y a quelques années encore. «Le grand public n’a peut-être pas une idée précise de la cybercriminalité», estime Guy Marong, Managing Partner et fondateur de Cubic Consulting, société spécialisée dans la cybersécurité. «Ce qui est clair, c’est qu’on n’est plus face à des individus isolés qui commettent des attaques ponctuelles, lorsque l’occasion se présente. Au contraire, nous avons à présent affaire à une vraie industrie, structurée, qui dispose de spécialistes et d’intermédiaires, dont certains travaillent quotidiennement, selon des horaires de bureau.» Cette industrialisation de la cyber criminalité fait sens, dans la mesure où une attaque au ransomware, par exemple, requiert des compétences variées: développement du logiciel, conception d’un mail permettant de transporter le malware, capacité à évaluer la somme à demander à la victime pour décrypter ses données, etc.
Être à la hauteur
L’évolution des pratiques des cybercriminels, passés d’activistes isolés, et souvent amateurs, à de véritables spécialistes travaillant en réseau, impose une grande prudence de la part des acteurs publics et privés. Plus que jamais, il s’agit, en matière de cybersécurité, d’être à la hauteur aux niveaux technique et opérationnel. «Nous n’en sommes plus à cocher des cases nous permettant de rester en conformité, ou de procéder à de petits ajustements techniques», prévient Guy Marong. «Notre point de vue, en tant que spécialistes de la cybersécurité, est qu’il faut à la fois élever le niveau technique en matière de défense, tout en impliquant le management dans le processus. Aujourd’hui, une cyberattaque peut avoir des conséquences stratégiques importantes pour l’entreprise, et les managers, comme le board, doivent impérativement pouvoir prendre les bonnes décisions quand un tel événement se produit.» Guy Marong sait mieux que personne de quoi il parle. Durant de nombreuses années, il a en effet travaillé dans différents pays d’Europe et d’Asie pour le groupe Sony, devenant CISO (Chief Information Security Officer) global en 2015. Chargé de la protection informatique de cette multinationale, il a été confronté à de nombreuses attaques d’envergure. «Cet apprentissage du terrain est sans doute le meilleur qui soit. La cybersécurité, c’est comme un combat, où il y a des réflexions stratégiques à mener et un champ de bataille sur lequel il faut tenir ses positions», précise celui qui est rentré dans son Luxembourg natal pour y fonder Cubic Consulting.
La cybersécurité, c’est comme un combat, avec une stratégie et un champ de bataille.
Sécurité active et gestion du risque
Au-delà de l’implication du management, Guy Marong estime que toute entreprise souhaitant renforcer sa cybersécurité doit déployer une vraie politique de gestion du risque d’une part, et un dispositif «tactique» de sécurité active, qui la défend en temps réel contre la menace, d’autre part. «Évidemment, il faut aussi disposer d’une vision stratégique, évaluer dans quelle direction évolue l’économie, et donc la menace», poursuit le Managing Director de Cubic Consulting. «Enfin, des métriques doivent être proposées pour mesurer l’efficacité des dispositions qui sont prises. Sans cela, on ne sait pas si l’on a pris la bonne voie ou non.» Parmi les technologies qui appellent une sécurisation renforcée, Guy Marong pointe notamment le cloud. «Il est indispensable d’avoir une grande expérience dans le secteur pour savoir comment aborder correctement le problème. De notre côté, nous pouvons dire au client: ‘Vous utilisez AWS ou Microsoft Azure, voici la protection qui vous est proposée, et voici ce qu’il faut encore faire pour mitiger totalement le risque.’»
Un travail en consultance
C’est précisément cette expérience du travail au sein de grandes multinationales que Guy Marong et son équipe veulent mettre à disposition de toutes les entreprises luxembourgeoises. «Avoir dû gérer les impératifs liés à la protection d’un groupe installé dans de nombreux pays, avec différentes cultures et un parc informatique de plus de 50.000 PC, permet d’identifier plus rapidement les problèmes lorsqu’on travaille sur une échelle plus réduite», estime le chef d’entreprise. «Pour accompagner ces structures plus modestes, nous mettons à leur disposition un consultant, qui se rend dans l’entreprise une fois par semaine ou quelques jours par mois, afin de former, d’améliorer les compétences techniques et managériales des équipes, et de les aider ainsi à mettre en place une réponse plus sophistiquée face à la menace. Cette formule est moins coûteuse que d’employer une personne dédiée, à l’année. De plus, il est souvent plus facile de pointer les problèmes quand on vient de l’extérieur que quand les critiques sont internes.» En amenant une certaine discipline, une structuration de l’effort lié à la cybersécurité, Cubic Consulting veut aussi permettre à ses clients de prioriser les démarches en fonction de leurs moyens. La démarche apparaît aujourd’hui incontournable pour les acteurs luxembourgeois. «Le Luxembourg, en tant qu’État, peut être une cible pour d’autres pays comme la Russie ou la Chine. Il s’agit aussi d’une place financière dont certains acteurs pourraient être visés par les cybercriminels. Enfin, l’espionnage industriel est un autre risque pour certains acteurs présents sur le territoire. L’accélération de la digitalisation et le télétravail ne font que renforcer cette vulnérabilité», conclut Guy Marong.
Sans mesure de la performance, on ne peut pas savoir si on a pris la bonne voie.
Trois impératifs en cybersécurité
La formation du management
La cybercriminalité peut mettre en danger l’activité d’une entreprise. Il s’agit donc d’un enjeu stratégique dont le management doit maîtriser les tenants et les aboutissants afin de prendre les bonnes décisions au moment opportun.
Les développements techniques
La cybersécurité est évidemment aussi une question de technique: accélération du «patching» permettant de repérer et réparer les problèmes, développement d’une architecture IT mieux adaptée, gestion des applications et des end points, etc.
La vision stratégique
L’entreprise doit être capable d’évaluer où se trouvent les risques les plus importants pour son activité et quels sont les éléments de sa ligne défensive qui laissent à désirer. Par ailleurs, elle doit aussi pouvoir anticiper l’évolution de l’économie et de la technologie pour adapter sa défense.
Vous souhaitez en savoir plus sur les services proposés par Cubic Consulting? Rendez-vous sur le site .