La cybersécurité, enjeu stratégique

Face à une cybercriminalité devenue une réelle industrie, les acteurs publics et privés doivent désormais adopter des pratiques de cybersécurité plus structurées et réfléchies.

La digitalisation croissante de nos sociétés n’a pas seulement déplacé l’économie dans l’espace numérique, elle y a aussi attiré les criminels. Aujourd’hui, il n’est pas une semaine qui passe sans que l’on évoque l’une ou l’autre attaque informatique conduisant à des fuites de données, à l’immobilisation opérationnelle d’une entreprise, ou encore à des demandes de rançon. Et toutes les cyberattaques ne sont pourtant pas ébruitées… Cela signifie que la menace, désormais, est omniprésente. Qui plus est, elle est bien plus organisée qu’il y a quelques années encore. «Le grand public n’a peut-être pas une idée précise de la cybercriminalité», estime Guy Marong, Managing Partner et fondateur de Cubic Consulting, société spécialisée dans la cybersécurité. «Ce qui est clair, c’est qu’on n’est plus face à des individus isolés qui commettent des attaques ponctuelles, lorsque l’occasion se présente. Au contraire, nous avons à présent affaire à une vraie industrie, structurée, qui dispose de spécialistes et d’intermédiaires, dont certains travaillent quotidiennement, selon des horaires de bureau.» Cette industrialisation de la cyber criminalité fait sens, dans la mesure où une attaque au ransomware, par exemple, requiert des compétences variées: développement du logiciel, conception d’un mail permettant de transporter le malware, capacité à évaluer la somme à demander à la victime pour décrypter ses données, etc.

Être à la hauteur

L’évolution des pratiques des cybercriminels, passés d’activistes isolés, et souvent amateurs, à de véritables spécialistes travaillant en réseau, impose une grande prudence de la part des acteurs publics et privés. Plus que jamais, il s’agit, en matière de cybersécurité, d’être à la hauteur aux niveaux technique et opérationnel. «Nous n’en sommes plus à cocher des cases nous permettant de rester en conformité, ou de procéder à de petits ajustements techniques», prévient Guy Marong. «Notre point de vue, en tant que spécialistes de la cybersécurité, est qu’il faut à la fois élever le niveau technique en matière de défense, tout en impliquant le management dans le processus. Aujourd’hui, une cyberattaque peut avoir des conséquences stratégiques importantes pour l’entreprise, et les managers, comme le board, doivent impérativement pouvoir prendre les bonnes décisions quand un tel événement se produit.» Guy Marong sait mieux que personne de quoi il parle. Durant de nombreuses années, il a en effet travaillé dans différents pays d’Europe et d’Asie pour le groupe Sony, devenant CISO (Chief Information Security Officer) global en 2015. Chargé de la protection informatique de cette multinationale, il a été confronté à de nombreuses attaques d’envergure. «Cet apprentissage du terrain est sans doute le meilleur qui soit. La cybersécurité, c’est comme un combat, où il y a des réflexions stratégiques à mener et un champ de bataille sur lequel il faut tenir ses positions», précise celui qui est rentré dans son Luxembourg natal pour y fonder Cubic Consulting.

La cybersécurité, c’est comme un combat, avec une stratégie et un champ de bataille.

Guy Marong, CEO, Cubic Consulting

Sécurité active et gestion du risque

Au-delà de l’implication du management, Guy Marong estime que toute entreprise souhaitant renforcer sa cybersécurité doit déployer une vraie politique de gestion du risque d’une part, et un dispositif «tactique» de sécurité active, qui la défend en temps réel contre la menace, d’autre part. «Évidemment, il faut aussi disposer d’une vision stratégique, évaluer dans quelle direction évolue l’économie, et donc la menace», poursuit le Managing Director de Cubic Consulting. «Enfin, des métriques doivent être proposées pour mesurer l’efficacité des dispositions qui sont prises. Sans cela, on ne sait pas si l’on a pris la bonne voie ou non.» Parmi les technologies qui appellent une sécurisation renforcée, Guy Marong pointe notamment le cloud. «Il est indispensable d’avoir une grande expérience dans le secteur pour savoir comment aborder correctement le problème. De notre côté, nous pouvons dire au client: ‘Vous utilisez AWS ou Microsoft Azure, voici la protection qui vous est proposée, et voici ce qu’il faut encore faire pour mitiger totalement le risque.’»

Un travail en consultance

C’est précisément cette expérience du travail au sein de grandes multinationales que Guy Marong et son équipe veulent mettre à disposition de toutes les entreprises luxembourgeoises. «Avoir dû gérer les impératifs liés à la protection d’un groupe installé dans de nombreux pays, avec différentes cultures et un parc informatique de plus de 50.000 PC, permet d’identifier plus rapidement les problèmes lorsqu’on travaille sur une échelle plus réduite», estime le chef d’entreprise. «Pour accompagner ces structures plus modestes, nous mettons à leur disposition un consultant, qui se rend dans l’entreprise une fois par semaine ou quelques jours par mois, afin de former, d’améliorer les compétences techniques et managériales des équipes, et de les aider ainsi à mettre en place une réponse plus sophistiquée face à la menace. Cette formule est moins coûteuse que d’employer une personne dédiée, à l’année. De plus, il est souvent plus facile de pointer les problèmes quand on vient de l’extérieur que quand les critiques sont internes.» En amenant une certaine discipline, une structuration de l’effort lié à la cybersécurité, Cubic Consulting veut aussi permettre à ses clients de prioriser les démarches en fonction de leurs moyens. La démarche apparaît aujourd’hui incontournable pour les acteurs luxembourgeois. «Le Luxembourg, en tant qu’État, peut être une cible pour d’autres pays comme la Russie ou la Chine. Il s’agit aussi d’une place financière dont certains acteurs pourraient être visés par les cybercriminels. Enfin, l’espionnage industriel est un autre risque pour certains acteurs présents sur le territoire. L’accélération de la digitalisation et le télétravail ne font que renforcer cette vulnérabilité», conclut Guy Marong.

Sans mesure de la performance, on ne peut pas savoir si on a pris la bonne voie.

Guy Marong, CEO, Cubic Consulting

Trois impératifs en cybersécurité

La formation du management

La cybercriminalité peut mettre en danger l’activité d’une entreprise. Il s’agit donc d’un enjeu stratégique dont le management doit maîtriser les tenants et les aboutissants afin de prendre les bonnes décisions au moment opportun.

Les développements techniques

La cybersécurité est évidemment aussi une question de technique: accélération du «patching» permettant de repérer et réparer les problèmes, développement d’une architecture IT mieux adaptée, gestion des applications et des end points, etc.

La vision stratégique

L’entreprise doit être capable d’évaluer où se trouvent les risques les plus importants pour son activité et quels sont les éléments de sa ligne défensive qui laissent à désirer. Par ailleurs, elle doit aussi pouvoir anticiper l’évolution de l’économie et de la technologie pour adapter sa défense.

Vous souhaitez en savoir plus sur les services proposés par Cubic Consulting? Rendez-vous sur le site .