Comment prendre des risques numériques pour saisir les opportunités qu’offre la data ?

Comment prendre des risques numériques pour saisir les opportunités qu’offre la data ?

 

 

Comment prendre des risques numériques pour saisir les opportunités qu’offre la data ?

La donnée est le fuel de la croissance numérique

Nos clients doivent avant tout développer des usages fluides des données captées et générées par leur entreprise numérisée. La donnée est aujourd’hui un actif stratégique dont les stocks doivent rester accessibles. La donnée a également une valeur financière directe très convoitée. Le challenge est donc d’aligner protection et usage.

Le risque numérique est désormais suivi par les conseils d’administration et dirigeants.

L’art du dirigeant est de savoir saisir des opportunités. Il prend des risques pour générer une croissance durable. Nous aidons nos clients grands comptes à prendre des risques numériques éclairés. Une démarche qui associe les dirigeant d’abord pour bien comprendre les usages à garantir dans leur stratégie numérique puis pour estimer les impacts des risques numériques et identifier les informations à protéger. Par exemple, lorsque nous simulons des cybers attaques sur leur entreprise (redteam), un dirigeant désigne le « drapeau » que nous devons récupérer : données financière, RH, projet stratégique en cours. Le dialogue avec le directeur de la cyber sécurité est beaucoup plus fluide. En s’inspirant des initiatives des régulateurs du risque dans le secteur financier (Solvency, Bâle), le directeur de la cyber sécurité peut déterminer l’immobilisation de capital financier qui est associée à l’appréciation des risques ou à la « note » cyber sécurité de son organisation. Un outil très parlant.

La cyber menace s’est industrialisée

Le Gartner estime que, d’ici 2024, 75% des dirigeants pourraient être personnellement responsables des cybers incidents ayant un impact physique sur les gens ou l’environnement.

Aujourd’hui, la cybercriminalité coûte en moyenne en France 8,6 millions d’euros[1], chiffre en très forte augmentation. La cybercriminalité est structurée avec des réseaux de sous-traitants. Les attaques sont ciblées et bien préparées avec pour principale finalité l’extorsion. Ces « ransomware » qui chiffrent leurs données peuvent parfois paralyser complètement leur activité. De nombreuses entreprises finissent par payer la rançon après négociation.

Le travail à distance et la peur engendrée par la COVID-19[2] ont accéléré cette tendance. Plus d’accès, moins de maîtrise de l’environnement de travail, plus de fragilité des utilisateurs. Un cocktail détonnant ! Les institutions financières dans le monde ont subi un triplement des cyberattaques entre février et avril[3]. En France, on peut estimer qu’il y a une dizaine de victime de toute taille par semaine.

Le cyber espionnage est la deuxième menace en très forte croissance. Il s’appuie de plus en plus sur des moyens considérables fournis par les états ou des sociétés privées : écoute réseau, aspiration sur le cloud public, implantation sur les réseaux d’entreprise ou d’opérateurs, applications mobiles piégées. 

A l’instar de la transformation numérique, la cyber sécurité doit repenser son organisation et la gestion de ses talents

Les dirigeants investissent en moyenne 500 € par employé[4] par an, dont seulement 40% en solutions technologiques. 28 % des dépenses sont consacrés à l’intégration de la cyber sécurité dans les processus de l’entreprise. Le risque numérique n’est plus l’affaire d’une seule équipe d’experts, il est transverse. Un décloisonnement de la cyber sécurité que nous réalisons et qui offre de réels gains d’efficacité opérationnelle. Cela permet à nos clients de faire face à la croissance des demandes portées par le numérique et à la pénurie structurelle d’experts. Cette main d’œuvre porte 32% des coûts.

Il faut 2 à 5 ans pour former un professionnel cyber compétent[5]. Une formation qui passe par beaucoup de pratique pour :

  • comprendre les technologies mises en œuvre dans la transformation numérique : cloud, API, applications mobiles, BigData et maintenant Intelligence Artificielle, blockchain, IoT, biométrie, 5G, calcul quantique ;
  • connaitre les menaces (cybercriminalité, espionnage), leurs tactiques, les cyber armes employées
  • maîtriser les technologies de protection et défenses, savoir les déployer sans limiter les usages, connaitre leurs limites ;
  • savoir dialoguer avec les équipes IT et métier de nos clients pour évaluer correctement les risques, s’assurer que les programmes cyber soutiennent les objectifs métiers et coordonner rapidement les réactions à incident pour limiter leurs impacts.

La surenchère dans la guerre des talents a ses limites. Nourris d’une étude que nous avons menés il y a deux ans auprès des filières cyber sécurité les plus performantes, nous avons redéployés avec succès un nouveau modèle d’organisation centralisée chez nos clients qui met chaque expert sur son domaine de prédilection et offre de nouvelles perspectives de carrières à des collaborateurs métier ou IT en pleine transformation. La formation continue des équipes à la cyber sécurité est la clé de réussite dans la guerre qui est livrée à la cyber menace. Nous observons aujourd’hui que ces organisations sont plus efficientes et collaborent mieux avec l’ensemble des acteurs de la transformation numérique.

La cyber sécurité doit repenser son arsenal pour faciliter les usages et protéger les données de l’entreprise

Nos clients les plus avancés dans leur transformation numérique ont déjà intégrés l’hygiène cyber sécurité : mises à jour des systèmes et applications pour corriger les vulnérabilités, sauvegardes régulièrement testées, éducation des collaborateurs, audits réguliers et souscription d’assurances cyber importantes (10m+). La « dette technique », ces fameux systèmes obsolètes doivent intégrer un programme de développement durable numérique – dépollution technologique.

Le confinement a permis à une grande majorité d’entreprise de prendre conscience qu’elles n’étaient pas complètement sûres dans un monde tout numérique. Alors que 88% se sentaient prêtes à un télétravail massif initialement, 70% reconnaissent actuellement qu’elles sont plus ou beaucoup plus vulnérables aux attaques dans cette situation[6]. Aujourd’hui, les utilisateurs sont également les clients, les partenaires voir les objets connectés. Ils se connectent depuis n’importe où. Une partie des données est consommée directement dans le cloud.

Pour bien définir sa stratégie cyber sécurité il faut être humble. L’approche résiliente sait faire face à une menace inconnue. Détecter des virus connus est un investissement inutile. Il faut maîtriser le renseignement cyber, savoir duper l’adversaire, faire appel à l’intelligence artificielle et offrir des primes aux chasseurs de vulnérabilité pour étendre sa capacité de détection et enfin ne plus faire confiance par défaut, le modèle Zero-Trust – brique indispensable à la résilience des organisations.

Nos clients doivent déployer des technologies leur permettant d’adapter les autorisations d’accès en fonction

  • du contexte : quel utilisateur, avec quel équipement, depuis où, avec quel niveau de menace ?
  • et de la ressource accédée : y a-t-il des données sensibles, comment les localiser ?

Nous intervenons sur quatre chantiers prioritaires :

  • Gérer les identités des salariés, fournisseurs, partenaires, clients, propects et même des objets connectés. Généraliser les authentifications multi-facteurs.
  • Vérifier et garantir la sécurité de tous les équipements des utilisateurs (ordinateurs, smartphones, tablettes…) et les considérer comme agent de la cyber défense. Nous observons d’ailleurs un rapprochement entre les éditeurs de solutions de détection d’attaque, de gestion de vulnérabilité et de protection des équipements.
  • Intégrer et automatiser la sécurité du cloud : secure web gateway (fw/web filtering /email filtering), split tunneling, Extended Detection and Response (XDR), Cloud Security Access Broker (CASB), Cloud Workload Protection Plaform (CWPP), Cloud Security Posture Management (CSPM)
  • Classifier et localiser automatiquement les données pour les suivre, les chiffrer, les anonymiser, détruire, etc.

Chez Beijaflore, nous recommandons d’adopter une solution unifiée chez un fournisseur de sécurité si possible cloudifié pour réduire la complexité de gestion et les coûts. Les actions des experts sécurité sont alors concentrées sur le réglage au plus fin des politiques de sécurité granulaires d’accès aux données, en proximité des métiers, plutôt que sur la gestion technique d’un patchwork d’outils d’éditeurs différents.

La massification induite permet de réaliser une partie des économies nécessaires dans le contexte financier actuel.

Enfin, nous exploitons les fortes capacités de la data science pour nos clients les plus avancés en cyber sécurité. Nous intervenons en binôme – data scientist et expert cyber – sur trois axes :

  • fiabiliser et fluidifier les reporting risque et sécurité pour adapter dynamiquement les efforts ;
  • détecter les comportements anormaux des utilisateurs, de leurs équipements (UEBA) et détecter des variantes (polymorphes) de cyber armes – qui restent furtives pour les outils classiques ;
  • automatiser les opérations de surveillance et de réaction. 

La transformation numérique et la multiplication de ses fournisseurs critiques posent la question de la confiance si ce n’est de la souveraineté

La transformation numérique a fait éclater la chaîne de valeurs avec pour conséquence la multiplication des fournisseurs de culture, maturité et taille très variées. Tous doivent pouvoir accéder facilement aux systèmes d’information. Les attaquants ont bien compris qu’il était plus facile de les compromettre dans un premier temps pour rebondir après vers leur cible. Après avoir formalisé les exigences qui s’appliquent à eux, nous aidons de plus en plus nos clients à piloter opérationnellement la cyber sécurité des activités de leurs fournisseurs et à contrôler les niveaux de sécurité de leur service ou produit mais également de leur outil de production. Une vigilance particulière est à porter sur les échanges physiques et logiques avec les sous-traitant. Un premier tri des fournisseurs est souvent mis en place à l’aide d’un système de notation cyber sécurité. Pour les secteurs qui ont besoin de connaitre la profondeur de la chaîne de sous-traitance, nous recommandons de mettre en place une approche décentralisée qui garantit la transparence à l’aide d’une blockchain.

Les fournisseurs de cyber sécurité font l’objet d’une vigilance particulière. En effet, la cyber sécurité est l’organe vital qui permet à une entreprise numérisée de rester ouverte et opérationnelle. Pour conserver son destin en main, il faut maîtriser certaines briques technologiques. En France l’Agence Nationale de la Sécurité des SI (ANSSI) évalue ainsi le niveau de sécurité fourni et le niveau de confiance qu’un utilisateur peut avoir. Un schéma qui concerne les produits technologiques et aussi les fournisseurs de service et cabinets de conseil. Nous pouvons être fiers de l’exemplarité française qui inspire de nombreux pays.

Une marque « France » reconnue pour la cyber sécurité

La France a des ingénieurs de talent. Elle sait aujourd’hui les garder et leur permettre de développer leurs idées.

150 start-up française en cyber sécurité rassemblent aujourd’hui 1 400 collaborateurs[7]. Plus du tiers apporte une rupture dans la solution de sécurité ou dans la sécurisation d’un nouvel usage technologique.

On peut citer Glimps qui détecte les menaces inconnues ciblant les équipements. Cosmian qui permet de réaliser des opérations sur des données chiffrées sans les déchiffrer, HIA secure qui rend autonome l’utilisateur dans son authentification, continus.io qui intègre la sécurité dans l’Agile et Moabi qui évalue les firmware des IoT.

Ces start-up bénéficient d’un environnement de plus en plus favorable. Accompagnées par la Cyber Defense Factory du MinArm, financées par le fond Brienne III (80 m€) d’ACE Management, le plan de relance (136 m€) ou le Grand Défi Cyber (30 m€) et bientôt hébergée dans le lieu Totem du Cyber Campus, voulu par le Président de la République, qui rassemblera industriels, formations, cabinet, utilisateurs et start-up.

La recette pour réussir l’innovation dont la France a besoin est simple et tous les ingrédients sont à portée : une idée pour résoudre un problème client, une équipe complémentaire, un réseau d’entrepreneurs, d’industriels et d’utilisateurs pour en faire un produit simple à déployer, un start-up studio pour amorcer et des fonds pour développer. Les startupers français doivent apprendre à moins valoriser la performance technologique et centrer leur développement sur les cas d’usage, la facilité de déploiement, de maintenance et d’exploitation de leurs solutions.

La commission Innovation des Assises de la cyber sécurité a identifié 4 technologies à traiter du fait de leur importance dans les organisations, de la proximité temporelle, des risques cyber qu’elles portent ou de l’opportunité qu’elles offrent aux RSSI : IA, Cloud, IoT et Biometrie. A garder en vigilance proche le calcul quantique et la 5G.

Le difficile paramétrage technique de la biométrie – compromis entre la courbe des faux rejets et celle des fausses acceptations – pose des questions de gouvernance et d’éthique complexes. La réussite de l’incontournable cloud répond à 4 questions : quel est mon vivier d’experts, comment assurer l’interopérabilité, réversibilité voire la souveraineté. L’intelligence artificielle qui bouleverse les habitudes des grandes organisations porte son lot de vulnérabilités et en même temps est une opportunité exceptionnelle pour augmenter les experts cyber qui font face à un volume colossal de données et d’activité. Enfin les objets connectés – ces capteurs envahissant indispensables chez les consommateurs ou dans les usines – doivent être étudiés avec soin pour élever le niveau de sécurité quand cela est possible et en limiter/inhiber les fonctionnalités dangereuses.

la sécurité de la donnée est au cœur des innovations technologiques ; des capteurs à leur traitement par une IA en passant par leur stockage dans le cloud. L’interopérabilité est un facteur clé de succès. Il faut privilégier les socles et technologies interopérables en particulier dans un environnement multicloud. Les innovations cyber qui se concentrent sur la sécurité des données vont libérer les freins à la transformation numérique et sont promises à un bel avenir.

Le budget cyber sécurité est moins impactée par la crise sanitaire et économique

En synthèse, comme la remonté McKinsey[8] dans son étude d’impact de la Covid-19 sur les budgets cyber sécurité, la contraction des dépenses de fin 2020 est due à la réallocation des moyens sur les accès distants et leur sécurisation. 70% des 250 acheteurs de cyber sécurité interrogés va demander une augmentation significative des budgets pour 2021. Dans la pratique, nous observons sur le terrain des délais plus court dans le pilotage des investissements. Les plans à 3 ans font place à un pilotage trimestriel voir mensuel dans certains cas.

[1] Accenture/Ponemon institute dec 2019

[2] Etude INTERPOL sur l’augmentation des cyber attaques COVID-19 : environ 1m de phishing, 737 incidents

[3] Etude VMware Carbon Black

[4] ESI Thoughtlab study : Driving Cybersecurity performance 2020

[5] ISSA / ESG : Global study of cybersecurity professionals 2020

[6] étude AT&T auprès de 800 professionnels de la sécurité au Royaume-Uni, en France et en Allemagne

[7] Radar 2020 des start-up cyber de BPI et Wavestone

[8] https://www.mckinsey.com/business-functions/risk/our-insights/covid-19-crisis-shifts-cybersecurity-priorities-and-budgets

Maxime de JABRUN

Global Executive Vice President Cyber Risk & Security – BEIJAFLORE

Fermer le menu
Share via
Facebook
Twitter
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap