La technologie s’immisce dans toutes les dimensions de la société, au cœur de nos vies. Elle est présente dans notre environnement professionnel, à la maison, au cœur de l’espace public. Elle facilite nos déplacements, nous encourage à maintenir une activité physique régulière, nous aide à manger plus sainement. Via les canaux numériques, nous accédons désormais à une offre culturelle pléthorique. Les échanges sociaux, comme la gestion des finances de chacun, se font désormais essentiellement en ligne. La technologie soutient l’éducation des enfants et la formation tout au long de la vie. Elle contribue à une gestion optimisée de l’énergie et constitue une des réponses aux enjeux climatiques. Bref, le numérique est partout et, si l’on en croit de nombreux observateurs, ce n’est que le début.
Nouvelles possibilités, nouveaux risques
«L’activité humaine est aujourd’hui largement dépendante de la technologie. Dans de très nombreux domaines, l’accès aux services numériques est devenu critique, commente , head of cybersecurity services au sein de Proximus Luxembourg. Avec la pandémie, ces derniers mois n’ont fait que révéler plus encore cette dépendance. Comment aurions-nous fait, en 2020, si ces solutions numériques n’avaient pas été disponibles? Mais, plus encore, comment ferons-nous, demain, si nous n’avons plus accès à tous ces outils numériques?»
Difficile, en effet, d’imaginer un monde sans ces solutions informatiques et, surtout, sans ces très nombreux échanges et flux numériques qui sous-tendent désormais l’activité humaine. Prendre conscience de l’importance du numérique au cœur de nos vies nous oblige aussi à considérer les risques et vulnérabilités liés à l’usage de la technologie. «La transformation numérique du business, et plus largement de la société, présente de grandes opportunités. L’exploration de ce potentiel s’accompagne toutefois de nouvelles possibilités, tout aussi importantes, pour les cybercriminels, commente , cybersecurity leader au sein de PwC Luxembourg. Elles sont d’autant plus nombreuses que la transformation numérique s’appuie sur des systèmes et des processus de plus en plus interconnectés. Quand, hier, les systèmes pouvaient fonctionner en étant isolés d’internet, désormais, ils sont en permanence tournés vers l’extérieur, et donc exposés.»
Cyber-risques, incidences opérationnelles
Les exemples de sociétés mises à mal par un incident cyber, quelle que soit leur nature, sont légion. Une fuite de données personnelles peut nuire à la réputation d’un acteur, et surtout exposer l’utilisateur concerné à de fâcheux désagréments. On ne compte plus le nombre d’hôpitaux qui, victimes d’une attaque, se sont retrouvés en état de paralysie totale. De nombreux services commerciaux ont été considérablement affectés par des attaques. Par exemple, l’été dernier, les utilisateurs des services connectés de Garmin se sont retrouvés perdus plusieurs jours durant suite à une attaque du géant américain du GPS. Un exemple parmi de nombreux autres. Plus récemment, de nombreux sites internet et autant de boîtes mail connaissaient de sérieux problèmes dus à l’incendie qui a affecté l’acteur majeur du cloud français OVH.
À la lumière de ces exemples, on comprend l’importance de la gestion du risque informatique pour toute organisation qui s’engage dans une démarche de transformation digitale. «Plus que de cybersécurité ou de risques informatiques, il faut parler de risques opérationnels, financiers ou réglementaires inhérents à une situation de crise dépendant des systèmes informatiques, poursuit Koen Maris. Dans ce contexte, chaque entreprise doit se demander combien de temps elle peut survivre en cas d’interruption de service. À partir de là, il lui appartient de prendre les mesures qui s’imposent pour préserver son activité.»
Vieux systèmes, nouveaux risques
Aujourd’hui, la prise de conscience des dirigeants semble réelle. En quelques années, les enjeux inhérents à la cybersécurité ont gagné en importance au sein des organisations. «Tous les ans, Allianz réalise un baromètre des risques auxquels sont exposées les entreprises, selon la perception qu’en ont leurs dirigeants, commente Cédric Mauny. En janvier 2020, pour la première fois, le risque cyber arrivait en première position des préoccupations des dirigeants, et ce devant le risque d’interruption d’activité. En 2021, l’interruption d’activité reprenait la tête du podium, suivie de très près par le risque d’une pandémie, à égalité avec le risque d’incident cyber. Il apparaît toutefois aujourd’hui qu’un incident cyber peut conduire à l’indisponibilité des outils de télétravail et à une interruption des activités.»
Le problème est que, dans beaucoup de structures, la technologie en place n’a pas évolué depuis parfois 10-15 ans.
La transformation numérique de la société s’accompagne d’une forte complexification des systèmes, de plus en plus interconnectés, avec une multiplication des flux de données. «Cette complexité offre un terrain de jeu de premier choix pour les attaquants, qui cherchent en permanence des vulnérabilités à exploiter, assure , directeur de Securitymadein.lu. Le problème est que, dans beaucoup de structures, la technologie en place n’a pas évolué depuis parfois 10-15 ans. Avec la digitalisation, quand on parle d’industrie 4.0 ou encore de véhicules autonomes, des systèmes qui n’ont pas été conçus pour cela se retrouvent connectés à des réseaux extérieurs, sans forcément avoir été mis à jour. De plus en plus, on voit réapparaître des vulnérabilités que l’on pensait corrigées depuis longtemps.» Des systèmes anciens, protégés uniquement au moyen d’un mot de passe par défaut, sont exposés sur internet sans aucune précaution. Du pain bénit pour les cybercriminels.
Garantir la confiance
S’engager dans un processus de transformation digitale exige, préalablement à tout développement, de gagner en maturité vis-à-vis de la gestion de ces risques liés à l’usage de la technologie. «C’est un enjeu de confiance, ni plus, ni moins, commente Cédric Mauny. Sans confiance, pas de business, pas de transformation numérique. Investir dans la sécurité doit avant tout servir à protéger l’utilisateur, la vie privée du client, à préserver l’activité de l’entreprise durablement.»
Longtemps perçue comme un poste coûteux et un frein à l’utilisation des technologies, la cybersécurité doit désormais être considérée comme une alliée. «La sécurisation des systèmes doit aller de pair avec la transformation numérique. Elle doit être considérée comme faisant partie intégrante du processus, commente Pascal Steichen. Et l’on peut se réjouir de voir les acteurs prêter de plus en plus d’attention au sujet. Depuis trois ou quatre ans, au Luxembourg, c’est devenu un sujet central, avec une meilleure prise de conscience du risque et une meilleure compréhension des impacts sur l’activité.»
Sécurité intégrée
Évoluer dans un environnement numérique implique une capacité à évoluer toujours plus rapidement. Cependant, il ne faut pas confondre vitesse et précipitation. «Sécurité et vitesse de développement se marient difficilement, reconnaît Koen Maris. Cependant, dans une approche durable, ces considérations liées à la sécurité sont indispensables et doivent être intégrées dans chaque projet, dès l’entame de celui-ci. De cette manière, on peut renforcer la qualité de chaque développement, gagner en efficacité, en garantissant à la fois la qualité du projet et une meilleure maîtrise des coûts.» Le fait de considérer les enjeux de cybersécurité tardivement dans un projet de développement ou de transformation numérique entraîne le plus souvent des surcoûts conséquents, bien plus importants que s’ils avaient été intégrés dès le départ. Corriger une vulnérabilité si elle est décelée une fois le projet bien avancé ou presque terminé s’avère bien plus compliqué et entraîne irrémédiablement des retards conséquents. «Oui, la cybersécurité constitue toujours un coût. L’enjeu est de déterminer où et comment bien investir. Pour cela, il faut partir d’une analyse de risque, afin de bien se préparer au risque ou de déterminer comment réagir, assure Cédric Mauny. En procédant de cette manière, on peut faire des choix éclairés, en considérant les risques et les bénéfices, et trouver les moyens d’optimiser ses coûts mais aussi ses investissements.»
Risque digital, conséquence physique
Une bonne gouvernance de la sécurité, permettant à chaque organisation d’élever son niveau de maturité en la matière, semble être un préalable indispensable à tout projet de transformation numérique. En la matière, les défis sont conséquents. À l’avenir, les objets connectés vont se multiplier. De nouveaux services devraient aussi naître de la rencontre entre des acteurs complémentaires au cœur de plateformes. Pour rendre compte des enjeux et des risques, rien ne vaut un bon exemple. Il n’y a pas si longtemps, une voiture était principalement constituée d’éléments essentiellement mécaniques assemblés autour d’un moteur. Désormais, le bon fonctionnement du véhicule dépend surtout d’éléments électroniques, produits par une diversité d’acteurs, connectés en permanence via les réseaux mobiles. «Avec la multiplication des objets connectés ou encore des technologies opérationnelles, on voit que le risque informatique peut entraîner un risque physique, commente Pascal Steichen. Quand on parle de mobilité autonome ou encore de ville connectée, il est important de prendre en considération les incidences d’une attaque sur la réalité physique.» Le piratage d’un véhicule connecté pourrait, en effet, conduire à des accidents et porter atteinte à la vie des utilisateurs ou d’une personne tierce. On peut se demander quelles seraient les conséquences associées aux défaillances d’un immeuble connecté victime d’un incendie, dont les issues pourraient se retrouver bloquées. «La transformation numérique n’est pas exempte de risques. Or, c’est pourtant la direction que l’on emprunte, sans forcément réfléchir à toutes les implications liées à l’usage de la technologie, commente Koen Maris. Les véhicules connectés sur le marché ne sont actuellement pas secured by design (garantis par la conception, ndlr). Les éléments électroniques contribuent avant tout à la sécurité des passagers. Par contre, on a encore trop souvent tendance à négliger la sécurité de ces composants vis-à-vis des tentatives de piratage.»
Le maillon faible
En matière de sécurité informatique, le niveau d’une chaîne de valeur correspond à celui du maillon le plus faible. Alors que les services numériques s’appuient de plus en plus sur un ensemble de prestataires variés, de softwares tiers ou encore de plateformes cloud, il faut pouvoir s’assurer du niveau d’exigence de chaque intervenant. «C’est là toute la difficulté liée au développement d’environnements de plus en plus complexes, poursuit Cédric Mauny. Il appartient à chaque acteur de s’assurer du niveau de sécurité des solutions extérieures sur lesquelles il s’appuie, que l’on parle de connectivité, de solutions cloud, ou encore de capteurs connectés.» Trop souvent, malheureusement, de nombreux acteurs font preuve d’une trop grande naïveté vis-à-vis des solutions sur lesquelles ils s’appuient, que ce soit dans un contexte professionnel ou encore au quotidien. «À l’approche du château fort, auquel on recourait pour sécuriser des systèmes par le passé, il faut privilégier celle de l’aéroport, souligne Cédric Mauny. Il faut se demander comment sécuriser un espace où une grande variété d’acteurs sont amenés à collaborer et où les flux sont multiples. Dans cette perspective, le concept du Zero Trust prévaut. Autrement dit, il ne faut pas faire aveuglément confiance à autrui et, lorsque l’on fait le choix d’une solution extérieure ou que l’on établit un partenariat, il convient d’exiger des garanties et de mettre en place des contrôles adéquats.» De cette manière, chaque partenaire exerçant un pouvoir de contrôle sur l’autre, il est possible d’avancer ensemble, en confiance, tout en garantissant la sécurité.
Pression réglementaire
La régulation a aussi un rôle important à jouer, notamment pour garantir la protection des utilisateurs et s’assurer de la disponibilité des services critiques. Le règlement général sur la protection des données (RGPD) a par exemple fixé un cadre, établissant que l’entreprise demeure responsable de ses données et des traitements qui en sont faits, même si ceux-ci sont confiés à des tiers. «D’autres législations contribuent à élever le niveau de sécurité informatique, explique Pascal Steichen. La directive NIS impose par exemple une série de mesures à des opérateurs de services essentiels, comme les fournisseurs d’énergie, les hôpitaux, les opérateurs de réseau, pour garantir la protection de leurs systèmes et la disponibilité des services. Une nouvelle version de la directive, attendue pour le milieu de l’année prochaine, devrait élargir le spectre des structures concernées par la réglementation.» Dans le secteur financier, le Digital Operational Resilience Act (Dora) établit le cadre dans lequel peuvent être sous-traitées certaines opérations auprès d’acteurs du secteur numérique. Au-delà, la Commission européenne a établi une stratégie européenne de cybersécurité qui inclut une série de règlements et de directives devant contribuer à élever la sécurité des systèmes. Celle-ci prévoit aussi le développement d’un centre de compétences en cybersécurité, dont la mission sera d’accompagner le développement des bonnes pratiques en travaillant avec les acteurs de la recherche, le monde de l’éducation, ainsi qu’avec les entreprises pour assurer des développements de plus en plus sécurisés. Le Luxembourg, pour sa part, travaille déjà depuis plusieurs années sur les enjeux de sécurité. Cette année devrait être publiée la quatrième version de la stratégie nationale en la matière. «Aujourd’hui, on recense plus de 300 entreprises proposant des solutions et des services en cybersécurité sur le territoire, assure Pascal Steichen. Cet écosystème riche ne cesse de grandir et contribue à l’attractivité du pays et à la confiance que les acteurs peuvent porter au Luxembourg.»
Prévenir avant tout
Toute entreprise, toutefois, a intérêt à mettre en œuvre une approche solide de la sécurité sans attendre d’y être contrainte. «La prise de conscience des risques est la première étape essentielle à la mise en œuvre d’une approche d’amélioration continue de la sécurité», assure Cédric Mauny, qui rappelle que c’est l’affaire de tous. «Aujourd’hui, pour être efficaces, plutôt que de s’attacher à la protection des systèmes, nous recommandons aux organisations de réfléchir en premier lieu à la réponse sur incident, ajoute Pascal Steichen. Désormais, il ne s’agit plus de se demander si l’on est susceptible d’être victime d’une attaque ou non, mais plutôt quand celle-ci interviendra, et comment y faire face. Si l’on considère le risque et la meilleure manière de réagir pour limiter les impacts, on peut alors mieux considérer les moyens de prévenir les incidents.» C’est bien connu, mieux vaut prévenir que guérir.
Cet article a été rédigé pour le supplément ‘Transformation digitale’ l’édition magazine de qui est parue le 29 avril 2021.
Le contenu du magazine est produit en exclusivité pour le magazine, il est publié sur le site pour contribuer aux archives complètes de Paperjam.
Votre entreprise est membre du Paperjam Club? Vous pouvez demander un abonnement à votre nom. Dites-le-nous via