En décembre 2020, la Commission a présenté la nouvelle stratégie de cybersécurité de l’UE, élément fondamental du plan de relance européen. Le message de Margrethe Vestager est sans équivoque: «La transformation numérique s’accélère, mais elle ne peut réussir que si les citoyens et les entreprises ont la certitude que les produits et services connectés sur lesquels ils comptent sont sûrs.»
Si les circonstances ont indubitablement accéléré l’adoption du digital pour une majorité d’entreprises, elles placent la cybersécurité au centre de leurs préoccupations pour 2021.
Budget cybersécurité?
Compte tenu des coûts potentiels résultant d’une violation de protection des données privées, tout budget consacré à l’amélioration de la posture cyber sera de l’argent bien dépensé.
Les montants liés à une cyberattaque peuvent varier énormément, mais sont incontestablement importants. Le dernier a révélé que le coût moyen d’une violation de données était de 3,86 millions de dollars. En outre, il faut garder à l’esprit que, si certains de ces dommages sont «réparables» (amendes, augmentation de la prime d’assurance, remédiation et réparation des systèmes), d’autres impactent malheureusement davantage le long terme: la perte de clients, la fuite de propriété intellectuelle, ou l’atteinte à la réputation en sont les meilleurs exemples.
La cybersécurité demeure un vaste domaine, et la définition d’objectifs spécifiques s’avère primordiale lors de l’établissement de son budget (et conditionne aussi le succès des mesures mises en place). C’est pourquoi il est recommandé d’évaluer les éléments à forte influence sur vos investissements: (1) type d’industrie, (2) conformité et réglementation, (3) sensibilité des données que vous collectez, utilisez ou partagez, et, évidemment, (4) exigences contractuelles.
Cela ne signifie pas pour autant que vous devez dépenser beaucoup d’argent à la fois et investir dans un amoncellement inextricable d’équipements et de services gérés: «a small amount can go a long way». Avec un investissement raisonnable, vous pouvez déjà franchir la première étape qu’est l’évaluation des risques, pour ensuite implémenter graduellement des mitigations adéquates. La mise en œuvre d’une protection efficace est un art, qui exige un équilibre délicat entre les personnes, les processus et la technologie.
Avec un investissement raisonnable, vous pouvez déjà franchir la première étape qu’est l’évaluation des risques, pour ensuite implémenter graduellement des mitigations adéquates.
Partenaires de confiance?
Le trajet vers une transformation numérique et de confiance sera collaboratif, collectif… Ou ne sera pas. La vérité est que la cybersécurité est une responsabilité partagée où chacun doit assumer sa part.
Les intégrateurs et les utilisateurs doivent investir un rôle proactif dans la spécification, la sélection et le déploiement des systèmes. Des contraintes de sécurité fortes et placées au cœur de cahiers des charges sont indispensables.
Du côté des équipementiers, l’aspiration à devenir un partenaire de confiance doit être soutenue par des faits, ces faits doivent être vérifiables, et la vérification doit être basée sur des normes communes. Chez Huawei, nous pensons que la certification est un moyen objectif et transparent de justifier d’un niveau d’assurance approprié, que ce soit pour un produit, mais également pour les processus utilisés lors du développement. Une évaluation via des tiers indépendants assure le respect de bonnes pratiques telles que la mise en place d’une gouvernance de sécurité, l’emploi d’un processus de type Secure Development Lifecycle (SDL), une gestion des vulnérabilités structurée, etc.
Enfin, dans un contexte de supply chain globalisé, nous attachons également chez Huawei une attention toute particulière à notre contribution dans la stratégie dite du «ruissellement cyber». Nous avons mis en place des exigences fermes et audits annuels qui permettent de nous assurer de la maturité cyber des écosystèmes avec lesquels nous travaillons, que ce soit en amont avec nos fournisseurs ou en aval avec nos partenaires technologiques.
Nous avons mis en place des exigences fermes et audits annuels qui permettent de nous assurer de la maturité cyber des écosystèmes avec lesquels nous travaillons, que ce soit en amont avec nos fournisseurs ou en aval avec nos partenaires technologiques.
Sensibilisation 2.0?
La sensibilisation est un thème croissant au sein des organisations: nous travaillons davantage en dehors du bureau, avec toujours plus de flexibilité, nous devons donc être diligents. La culture de la sécurité est amenée à jouer un rôle encore plus prégnant et doit faire partie intégrante de la culture des entreprises.
Si nous assistons (sans surprise) à une hausse de la demande de formation en ligne, les contenus traditionnels appartiennent désormais au passé. Afin de s’assurer que toutes les connaissances sont conservées, il est essentiel de rendre le matériel d’apprentissage interactif et amusant avec de nouvelles approches basées sur la «gamification» et les cas d’usage réels.
Par exemple, au sein de Huawei, nous observons un intérêt marqué pour nos campagnes de sensibilisation RGPD, qui utilisent des mises en situation, ou notre plateforme . D’autres incitants à la formation et la certification dans le domaine de la protection de données sont proposés via les évaluations annuelles de nos collaborateurs.
https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/
https://e.huawei.com/en/talent/#/corporate/home?navType=enterpriseCustomer