Réécoutez l’intégralité du podcast Arendt We Live en cliquant sur le lien ci-dessous:
«Il y a deux types d’entreprises. Celles qui ont été hackées, et celles qui le seront», déclare d’emblée Jean-Marc Ueberecken. Une phrase qui ne laisse pas indifférent et qui illustre bien le fait suivant: toutes les entreprises sont susceptibles d’être visées par une cyberattaque. La question qui demeure est de savoir quand elle le sera et de quelle manière. La phrase indique aussi clairement que, dans ce domaine, il y a un avant et un après pour l’entreprise. Que l’on parle d’une PME ou d’un grand groupe, les problématiques sont les mêmes, les conséquences sont également les mêmes. Seule l’échelle change.
Nous avons tenté de trouver un compromis, mais c’est la sécurité qui l’emportera toujours face à la praticité
Notre intervenant fait cependant la distinction entre le modèle BtoB et BtoC, ce dernier présentant un risque différent dans la mesure où, dans ce système, transitent en grand nombre les données bancaires des clients. Ces données, par leur nombre et leur valeur donc, sont extrêmement attractives pour les hackers. Leur revente pure et simple est «facile» sur le darknet. Le BtoB est quant à lui visé par des cyberattaques plus ciblées, souvent en lien avec de l’espionnage industriel, où la confidentialité des données est susceptible de faire l’objet d’un chantage à la divulgation. En d’autres termes, «payez cette somme, sinon, vos informations seront révélées à vos concurrents». Ou bien «payez cette somme pour que nous débloquions le verrouillage de vos informations». Dans tous les cas, les conséquences peuvent être dramatiques pour l’entreprise visée.
D’ailleurs, une entreprise comme Arendt & Medernach est directement concernée dans la mesure où les avocats qui y exercent détiennent des données confidentielles relatives à leurs clients. De telles données peuvent être mises à disposition sur des plateformes développées spécifiquement et toute la difficulté réside dans la distinction entre simplicité pour l’utilisateur et sécurité des données. Comment rendre ces plateformes facilement utilisables et en même temps complètement sûres ? L’un allant parfois à l’encontre de l’autre, assez logiquement. Une chambre forte n’est ni belle ni pratique, sa structure correspond à son usage: protéger et rien d’autre. «Nous avons tenté de trouver un compromis, mais c’est la sécurité qui l’emportera toujours face à la praticité», indique le Managing Partner d’Arendt & Medernach.
La crise sanitaire que nous traversons n’a fait qu’amplifier les choses. De plus en plus d’informations ont été digitalisées par les entreprises, souvent dans la précipitation, et comme ces systèmes ne sont donc pas sûrs, ils sont particulièrement vulnérables. Un cercle vicieux peut alors se mettre en place. Avec la volonté de sensibiliser et d’accompagner les entreprises dans la gestion des risques liés à la sécurité de l’information, le groupe Arendt a d’ailleurs rassemblé une offre unique dédiée à la cybersécurité. Un one-stop-shop pour toutes demandes allant du juridique au réglementaire, en passant par l’advisory et la technique. Cette approche permet d’appréhender les risques dans toutes leurs dimensions, et tous les maillons de la chaîne qui y sont associés.
Dans cette lutte contre les cyberattaques, deux figures émergent au niveau des ressources humaines des entreprises: le CISO (Chief Information Security Officer) et le DPO (Data Protection Officer). Le premier étant le responsable de la sécurité de l’information en général, à tous les niveaux de l’entreprise qui pourraient être visés. «C’est un profil qui possède un background informatique solide», précise Jean-Marc Ueberecken. La mission du DPO est quant à elle assez différente puisque prévue par le RGPD. Disposer d’un DPO est un impératif pour toutes les entreprises. Son rôle est d’assurer que l’entreprise soit en règle vis-à-vis de la gestion des données utilisateurs. «C’est un profil dont le background est lié aux matières juridiques», indique enfin notre orateur.
La minimisation des données ainsi que les principes de «moindre privilège» (least privilege) et du «besoin de savoir» (need to know) sont commun au CISO et au DPO. Leurs profils sont donc complémentaires même si, parfois, ils peuvent aussi entrer en contradiction. Ce que le CISO veut mettre en place n’étant pas reconnu comme conforme par le DPO, par exemple lorsque les outils à la disposition du CISO sont basés sur l’analyse comportementale ou sur de la corrélation de données ou, autre exemple, lorsqu’il y a un conflit sur la durée du stockage de données personnelles.
«Si toutes les entreprises n’ont pas besoin de stratégie intrinsèquement dédiée à la cybersécurité, aucune ne peut se passer d’une stratégie globale qui intègre des éléments solides liés à sa cybersécurité», conclut Jean-Marc Ueberecken.
Retrouvez le podcast Arendt We Live en intégralité sur Paperjam.lu.
3 questions express à Jean-Marc Ueberecken
• Quelle réalité concrète se cache derrière le mot «hacking»?
Ce n’est pas forcément du vol de données. Plus souvent, cela correspond à l’usage d’un logiciel malveillant, d’un virus par exemple, dans le but de mettre en défaut un système informatique, celui d’une entreprise ou d’un particulier. Le hacker exigera ensuite le paiement d’une rançon en échange du retrait de ce logiciel pirate.
• Quel impact la pandémie de Covid-19 aura-t-elle sur la santé digitale des entreprises?
À court terme, l’impact sera négatif dans la mesure où les entreprises se sont digitalisées très vite, et donc peut-être pas de la bonne manière. On fait rarement les choses bien dans la précipitation. À long terme, en revanche, si les entreprises ont pu entre-temps consolider leurs possibles failles de cybersécurité, cette digitalisation sera positive pour leur activité.
• Quelle mesure conseilleriez-vous aux entreprises de mettre en place au plus vite?
Elles doivent avoir un plan – pas forcément technique mais logistique – à mettre en place rapidement dans le cas d’une attaque. Un plan qui indique les premières actions à engager et notamment qui contacter: experts informatiques, autorités (dans tous les pays où résident des personnes dont les données personnelles ont potentiellement été volées), avocats, assurances, etc.