L’étude «creating trust in a digital world» d’EY est traditionnellement consacrée à la cybersécurité et à la sûreté de l’information. Sa 18e édition a été effectuée auprès de 1.755 entreprises dans 67 pays, dont 10 organisations luxembourgeoises.
Le constat est sans appel: 88% des organisations estiment que leurs systèmes ne répondent pas à leurs besoins de sécurité et 36% des sondés n’ont toujours pas confiance en leur capacité à détecter les attaques informatiques sophistiquées. Phishing et malwares sont perçus comme les deux menaces les plus répandues.
Assurer l’intégrité de son patrimoine informationnel est le défi par excellence posé par l’économie digitale. Bien plus que technologique, la matière est stratégique. «La sécurité des données est un enjeu transversal. Ce n’est pas un sujet IT, mais de direction générale, affirme Brice Lecoustey, associé chez EY. C’est loin d’être une préoccupation de multinationales, mais de PME innovantes, de banques… Dans un pays comme le Luxembourg où la finance, très consommatrice de données, intervient pour 1/3 du PIB, le domaine de la sécurisation est crucial. Le succès d’avancées comme les fintech, le cloud computing ou l’internet des objets en dépend.»
Défense proactive
Au niveau des budgets consacrés à la sécurité IT, une importante marge de progression existe, puisque 69% des sondés déclarent qu’une augmentation allant jusqu’à 50% serait nécessaire pour rencontrer le niveau de tolérance au risque de la direction.
On n’a plus seulement affaire à des loups solitaires.
Olivier Maréchal
Avec les années, la nature des menaces et leur provenance ont changé, rendant encore plus complexe leur détection. Leur origine perçue provient d’abord des syndicats du crime (59%), de hackers malveillants (54%) et de groupes soutenus par des États (35%).
«Les attaques sont de plus en plus organisées et professionnelles. On n’a plus seulement affaire à des loups solitaires. L’affaire Carbanak de 2013 est un bon exemple d’attaque globalisée et de longue durée, explique Olivier Maréchal, associé chez EY. Un réseau de cybercriminels avait ainsi réussi à détourner plus d’un milliard de dollars dans toute une série de banques sur 30 pays. Grâce à des e-mails contrefaits, ils étaient parvenus à rentrer dans leurs systèmes et espionner les échanges durant plusieurs mois. On est dans une tout autre ampleur qu’il y a quelques années. Par définition, le monde digital ne connaît pas de frontières.»
Anticiper et tester ses systèmes est une des réponses.
Brice Lecoustey
Face à ces risques multiples et changeants, il s’agit d’adopter une approche «top-down» en gardant toujours l’utilisateur lambda en tête. Former ses gens est clé. «L’attaque peut être une perte financière, un vol de données clients, de tarification ou de plans R&D, une mise en danger de sa réputation… Sans tomber dans le tout sécuritaire et la paranoïa, l’ensemble des secteurs peut être impacté, affirme Brice Lecoustey. C’est un des risques principaux pour les entreprises aujourd’hui. Anticiper et tester ses systèmes est une des réponses. Si faire de la veille proactive sur ces sujets est parfois complexe pour les plus petits acteurs, au Luxembourg, ils ont notamment la possibilité de recourir à l’initiative publique Smile pour des conseils pratiques.»
Si on ne peut pas tout protéger, il faut choisir ses combats. La vulnérabilité des organisations augmente avec l’interconnexion des systèmes. «L’écosystème a changé, tout est de plus en plus connecté. Les points d’entrée dans les systèmes sont plus nombreux.»
Le concept d’«appétit au risque» a fait son apparition. Face aux menaces potentielles, il faut mettre un prix. L’approche doit être ciblée, toutes les données ne pouvant pas bénéficier de la même surveillance. Il est indispensable de déterminer quels sont les actifs les plus sensibles pour allouer son budget en conséquence, pointe Olivier Maréchal. Il ne faut pas se demander s’il y aura des attaques, mais quand et quels moyens mettre en place.»