Nul besoin d’être expert pour constater que la digitalisation a fait, en un an, un bond en avant équivalent à 5, voire 10, années de développement. Que l’on soit salarié d’une entreprise ou simplement citoyen, l’usage massif du télétravail, des nouveaux moyens de communication ou bien des achats et divertissements en ligne suffit pour s’en convaincre. Chacun a été entraîné par cette digitalisation lorsque la crise a débuté. Du côté des entreprises qui proposent ces services, cet essor fut une voie de secours pour poursuivre leurs activités, mais elles ont très vite entrevu le potentiel lié à cette accélération. Si bien qu’il paraît aujourd’hui impossible que s’opère un retour en arrière, même lorsque le virus ne sera plus qu’un mauvais souvenir.
Mais ce changement de paradigme pose aussi des questions sur la gestion du risque qui ne sont pas nouvelles, mais dont il faut se préoccuper avec plus d’intérêt. Plus de digitalisation équivaut à plus de risques de cybercriminalité. La multiplication des données qu’engendre la digitalisation est un véritable enjeu pour les entreprises, et la protection de leur valeur croissante est au cœur de la discussion prévue. L’entrée en vigueur du RGPD a rendu obligatoire de protéger le traitement des données à caractère personnel. Les sociétés prises en défaut à ce sujet étant sanctionnées d’amendes lourdes, pouvant aller jusqu'à EUR 20 millions ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Au-delà des sanctions infligées par les autorités compétentes, c’est la réputation même de l’entreprise qui est entachée par une violation des données que ses utilisateurs ont bien voulu lui confier. L’impact est également opérationnel et financier puisque l’activité peut alors être interrompue et les concurrents disposer d’informations-clés, sans compter l’indemnisation du préjudice due aux acteurs concernés.
Toutes les entreprises, quels que soient leur taille ou leur secteur d’activité sont directement concernées, d’une manière ou d’une autre.
Les entreprises doivent donc aujourd’hui être «data compliant», c’est-à-dire garantir que les données dont elles disposent sont sécurisées. Des mesures organisationnelles et techniques doivent être mises en place pour empêcher toute intrusion malveillante au sein de leur système informatique et assurer la confidentialité, la protection et l’intégrité des données qui transitent au sein de l’infrastructure. Évidemment, les mesures de sécurité requises sont plus élevées pour une banque que pour une PME d’artisanat locale. Mais toutes doivent néanmoins se préparer. Des obligations légales de secret professionnel et, pour les sociétés soumises à la surveillance de la CSSF, le rapport de fraudes ou d’attaques viennent s’ajouter à ce dispositif. Bien évidemment, ces mesures souvent coûteuses impliquent une réorganisation globale qui dépasse le simple cadre informatique au sein de l’entreprise. Les considérations sont également ici d’ordre juridique et réglementaire.
Mais comment s’y préparer? En amont, comment le board de l’entreprise doit-il organiser le processus décisionnel lié à la possibilité d’une cyberattaque? Comment réguler l’intégration d’un sous-traitant dans les processus? À quels scénarios se préparer pour anticiper l’hypothèse d’une cyberattaque? Comment gérer les conséquences d’une violation des données ou d’un incident? Qui doit en être notifié? Comment être dédommagé? Ce sont toutes ces questions sur lesquelles se pencheront les experts présents lors de ce podcast.
Cet épisode bénéficiera également d’une intervention de David Hagen (Hagen Advisory), conseiller en ICT et cybersécurité pour le secteur financier et ancien Head of IT Supervision and Support PSF à la CSSF et Chief Information Officer en charge des systèmes informatiques de la Commission.
N’attendez plus et inscrivez-vous
Intervenants: