Cybersécurité : où en est-on en 2020 ?

Arrivée de la 5G, multiplication des objets connectés (IoT), ouverture des écosystèmes, développement de l’intelligence artificielle… De nouveaux risques cyber, inhérents aux innovations technologiques, sont apparus et continueront d’apparaître. Les cyberattaques ne cessent d’ailleurs d’augmenter et sont de plus en plus lourdes de conséquences. Pour se prémunir face à ces menaces, les organisations n’ont d’autre choix que de renforcer drastiquement leur sécurité informatique et de faire évoluer leurs pratiques. Une interview « regards croisés » de Laurent Allard, Senior Advisor chez Partech & David Luponis, Associé Cybersécurité chez Mazars.

 

La cybersécurité est-elle devenue un axe de préoccupation majeure pour les organisations ?

Laurent Allard : Violation des données personnelles des clients, fraude financière ou encore interruption des services de production… Si le digital apporte beaucoup de valeur pour l’entreprise, notamment en matière d’expérience client, de flexibilité, d’agilité et de réduction des coûts, il est à l’origine de nouveaux risques et de menaces d’un nouveau genre, notamment en raison de l’utilisation croissante d’objets connectés.

Compte tenu de ces enjeux, la cybersécurité est aujourd’hui une préoccupation majeure pour les organisations, au point que 85% des grandes entreprises mentionnent leurs initiatives de cybersécurité dans leurs communications financières. Toutefois, pour faire de cette préoccupation un axe stratégique, l’entreprise doit s’organiser de manière à développer un plan holistique comprenant l’ensemble de ses parties prenantes. Aujourd’hui, nous sommes en encore dans du réactif.

David Luponis : Effectivement, les risques cyber sont devenus une vraie préoccupation : aujourd’hui les décideurs ainsi que les comités d’audit ou des risques s’interrogent sur les pratiques mises en œuvre au sein de l’entreprise pour protéger ses données et biens informatiques. Les directions redoutent les failles ou intrusions qui pourraient altérer voire interrompre tout ou partie de leur activité. D’autant plus que les attaques abouties augmentent le risque de retombées médiatiques, susceptibles de dégrader l’image de la structure et d’impacter directement son chiffre d’affaires. Soulignons également l’importance du volet réglementaire qui encourage les entreprises, en France et en Europe, à mesurer plus efficacement leur exposition aux risques cyber et à prendre des mesures concrètes pour se protéger.

 

Quels nouveaux risques cyber en 2020 ?

Laurent Allard : En croissance de 10% par an, les attaques abouties seront de plus en plus nombreuses et auront de plus en plus d’impact sur le business des entreprises. Leur coût augmente lui aussi chaque année : il est question de quelques centaines de milliers d’euros pour une PME/ETI et de sommes allant jusqu’à plusieurs millions d’euros pour les grandes entreprises.

Aujourd’hui, quatre risques majeurs se démarquent, à commencer par les conséquences du recours à l’IoT. En effet, avec 20 milliards d’objets connectés en 2020, les menaces liées à leur utilisation devraient prendre de plus en plus d’ampleur et constituer 20% des attaques d’ici 5 ans. Deuxièmement, la montée en puissance des attaques DDOS, qui saturent les liens réseaux et empêchent les transactions business de s’opérer pourraient gagner du terrain, car seuls les fournisseurs de Cloud ont des réseaux à même d’absorber ce type d’attaque. D’autre part, la fragilité conséquente à l’ouverture des écosystèmes est elle aussi à souligner, d’autant plus qu’à l’échelle internationale, les différents acteurs ne répondent pas aux mêmes réglementations et ne témoignent pas du même niveau d’investissement dans la cybersécurité. Enfin, le développement de l’utilisation d’ordinateurs quantiques est lui aussi porteur de risque compte tenu de la puissance de calcul de ces machines, à même de casser des clés de chiffrement en quelques secondes. Le déploiement du quantique sera donc à monitorer avec beaucoup d’attention.

David Luponis : L’utilisation de la 5G sera bientôt à l’origine de nouveaux services et pratiques. Cette technologie engendrera inévitablement l’apparition de nouvelles menaces : non pas sur le réseau lui-même, mais sur l’ensemble des outils et objets connectés qui n’auront pas été pensés et développés avec un niveau suffisant de cybersécurité.

 

Des tendances et solutions se démarquent-elles pour maîtriser ces risques ?

Laurent Allard : Face à ces nouvelles menaces, cinq tendances prometteuses gagnent du terrain.

1. Tout d’abord, force est de constater un développement massif en matière de réglementation à l’échelle mondiale. Le RGPD, né en Europe, est sur le point de se déployer sur les cinq continents, avec des appellations différentes mais selon le même principe clé : obliger les entreprises à renforcer la sécurité des données de leurs clients.

2. Par ailleurs, alors que le volume unitaire d’alertes et d’informations explose, l’intelligence artificielle et l’automatisation permettent dorénavant de corréler, d’anticiper et d’identifier les comportements anormaux.

3. Avec en moyenne 25 user ID et mots de passe par personne, le renforcement massif de l’identification digitale est aujourd’hui à son apogée et l’on peut rêver que demain, chacun puisse avoir une identification digitale unique. On voit déjà se multiplier les authentifications à facteurs multiples, incluant de la biométrie (empreintes, voix, reconnaissance facile).

4. Les périphériques (IoT, mobiles, postes de travail…) sont des éléments vulnérables par lesquels les attaques pénètrent massivement. L’évolution de la protection de ces objets connectés constitue un enjeu de taille, c’est pourquoi nous devrions prochainement voir leurs standards évoluer pour renforcer leur niveau de sécurité.

5. Initialement utilisée pour la cryptomonnaie, la blockchain sert aujourd’hui de base sécurisée pour les échanges collaboratifs, l’assurance ou encore la supplychain. Son recours dans l’ensemble des industries, tous secteurs confondus, est une tendance forte.

 

La guerre contre les pirates est-elle perdue d’avance ?

Laurent Allard : A ce jour, la cybercriminalité rapporte plus que les autres industries illicites. Les hackers et les entreprises se livrent à une course permanente de maîtrise des technologies : la guerre n’est pas perdue, mais le combat est permanent.

Pour lutter contre ces pirates, il convient avant tout d’unir nos forces et d’œuvrer pour le partage de connaissances. On voit d’ailleurs apparaître des groupes d’action unissant les pouvoirs publics, des spécialistes de solutions technologiques, des représentants d’entreprises ainsi que des acteurs externes, apportant un savoir-faire complémentaire ou une connaissance spécifique.

Face à la prévision de ces incidents qui continueront de se déployer, nous pouvons dès à présent agir sur trois axes. Premièrement, développer et renforcer la cyber-résilience de l’entreprise, tester régulièrement des procédures de gestion d’incident, enfin, continuer de contracter des assurances afin de couvrir les conséquences économiques éventuelles.

David Luponis : Les pirates ont et auront toujours une longueur d’avance. Cependant la prise en compte, par le management, à la fois des risques cyber, de l’évolution des technologies et de l’expertise des équipes  d’ingénieurs et de consultants en cybersécurité, permettra de diminuer les risques et les impacts pour l’entreprise. Sans oublier le caractère réglementaire du sujet cyber qui impose aux entreprises la prise en compte au plus haut niveau de ces risques.

 

Cybersécurité : quelles sont les zones d’investissement prioritaires ?

Laurent Allard : Quels que soient la maturité digitale et le niveau de cybersécurité de l’entreprise, il faut continuer d’investir dans la composante humaine, car l’individu reste la première cause de cyberattaque. En effet, plus de 80% des attaques sont directement ou indirectement liées à une action humaine : avoir cliqué sur un message de phishing, ne pas avoir protégé une donnée confidentielle… Tout ceci nécessite un investissement et un effort permanent de formation, de sensibilisation, mais aussi de test. Pas seulement pour les salariés de l’entreprise mais pour l’ensemble des acteurs qui interagissent avec l’entreprise : les sous-traitants, les externes, les partenaires…

David Luponis : Comme le dit Laurent, la priorité doit être donnée à la formation et à la sensibilisation. La France bénéficie d’un socle d’écoles et de formations de qualité pour constituer, demain, un pool solide d’ingénieurs, de chercheurs, de consultants et d’analystes en cybersécurité.

Découvrez l’interview de Laurent Allard :

Découvrez la série Cyber Stories

David Luponis

David Luponis

Associé Cybersécurité