Pour beaucoup d’entreprises luxembourgeoises, la transformation digitale est LA priorité du moment. Tous les secteurs d’activité sont d’ailleurs concernés. Cette digitalisation apporte évidemment des avantages (concurrentiels, opérationnels…), et on peut dire aujourd’hui que les entreprises deviennent plus «ouvertes» à leurs clients, leurs partenaires, leurs fournisseurs.
Néanmoins, cela les expose également davantage à des cyberattaques, et la vulnérabilité digitale augmente fortement. Il n’est pas un jour sans qu’une entreprise n’en soit victime au Luxembourg, et la question n’est plus de savoir «si on sera attaqué», mais «quand on sera attaqué».
La sécurité informatique doit donc impérativement accompagner la transformation digitale dans une optique «secure by design», c’est-à-dire dès le développement initial de nouveaux produits et services.
Quels sont donc les bons réflexes à avoir? Il faut tout d’abord comprendre que la sécurité vise à diminuer un risque. Les cybercriminels ne visent plus les systèmes d’information par défi personnel, ils attaquent d’abord là où il y a de la valeur. C’est pourquoi la sécurité ne doit pas être vue juste comme un problème informatique.
Dans le cadre de leur transformation digitale, les entreprises doivent faire face à de multiples défis. J’en vois au moins cinq principaux au niveau de la cybersécurité:
- Aligner le métier et la sécurité;
- Prendre conscience de l’étendue de son système d’information;
- Suivre le rythme des menaces et les prévenir;
- Faire face au manque de ressources qualifiées;
- Aborder sereinement les aspects légaux.
Souvent, les programmes d’amélioration de la sécurité informatique ne sont pas suffisamment alignés aux objectifs métiers d’une entreprise. Il est dès lors important que les organisations de sécurité disposent d’une excellente compréhension des activités de l’entreprise et de toutes ses ramifications. À titre d’exemple, une banque française qui pensait avoir tout «cadenassé» a découvert avec effroi les plans de certains de ses bâtiments et de ses systèmes de caméras sur le dark web. Le cabinet d’architecte qui avait travaillé pour eux avait été hacké.
L’adoption, par les entreprises, du cloud, des appareils mobiles, des dispositifs intelligents, de l’Internet of Things et des médias sociaux a été rapide. Beaucoup de ces entreprises éprouvent des difficultés à établir le cadre, les politiques et les contrôles nécessaires pour protéger cet environnement ICT étendu.
La localisation et la nature du traitement des données deviennent primordiales. Il faut donc mettre en place une visibilité en continu sur les systèmes d’information, combinée avec des mécanismes automatisés de détection des anomalies et des comportements suspects dans une approche prescriptive.
Il faut mettre en place une cybersécurité ‘offensive’ qui va éprouver régulièrement les systèmes de défense pour y chercher les failles.
Mohamed Ourdane, Chef du département Cybersecurity (Post Luxembourg)
Cela dit, la cybersécurité «défensive», selon l’approche «Vauban», qui consiste à épaissir les fortifications, ne suffit plus. Il faut mettre en place une cybersécurité «offensive», qui va éprouver régulièrement les systèmes de défense pour y chercher les failles.
Chez Post Luxembourg, nous avons mis en place un cluster de compétences pour assurer la cybersécurité avec des architectes qui connaissent le domaine, des «data scientists» qui créent les algorithmes de détection et de prévention des attaques, et une «red team», composée de hackers. Créée il y a plus de quatre ans, l’objectif de la «red team» est de tester en permanence nos systèmes par «tous les moyens possibles».
Ces tests sont pratiqués depuis les locaux de l’entreprise avec accès au réseau, depuis les locaux de l’entreprise sans accès informatique, mais aussi depuis l’extérieur avec un simple accès internet. Ils ont carte blanche pour être au plus près d’une situation réelle.
La «red team» de Post mène aussi régulièrement des missions «offensives» pour des clients au Luxembourg dans des secteurs très variés (banque, assurance, santé, industrie…) et à l’étranger, jusqu’au Moyen-Orient. Nous voyons d’ailleurs apparaître les premiers appels d’offres estampillés «red team» émanant d’entreprises luxembourgeoises.
[Les] experts doivent continuellement pratiquer et se former pour rester à la pointe.
Comme beaucoup d’entreprises, nous constatons aussi un manque de ressources et d’expertises disponibles sur le marché en matière de cybersécurité. La plupart des entreprises sont capables de recruter et d’engager des experts en sécurité, mais leurs experts doivent continuellement pratiquer et se former pour rester à la pointe. C’est un réel défi.
Enfin, l’aspect législatif de la sécurité, et plus particulièrement la protection de la vie privée, s’intensifie rapidement. Les gouvernements et les législateurs forcent de plus en plus les organisations (aussi bien publiques que privées) à améliorer la protection des données personnelles qu’elles manipulent, ainsi qu’à protéger leurs infrastructures critiques.
En résumé, la cybersécurité est essentielle à la transformation digitale, et les entreprises ont tout intérêt à revoir leurs priorités. Repenser la stratégie de sécurisation du système d’information est aujourd’hui une nécessité absolue.