En matière de sécurité informatique, la simple solution technologique ne suffit plus ! La réponse : se réapproprier l’humain – et éviter l’écueil de la protection systématique.
Pour protéger efficacement en entreprise, il est nécessaire d’aller au delà de la technologie. 35% des incidents de sécurité seraient causés par des collaborateurs, en interne. Dans son ouvrage « Cybersécurité, au delà de la technologie », Philippe Trouchaud, associé au sein du cabinet PwC explique pourquoi la cybersécurité est d’abord un enjeu d’organisation, de capital humain et informationnel. Le motto ? la formation aux risques, et une identification raisonnée de ces risques.
Entretien avec Philippe Trouchaud, associé au sein du cabinet PwC, et expert cybersécurité à propos de l'ouvrage "Cybersécurité au delà de la technologie", paru aux éditions Odile Jacob.
35% des incidents de sécurité seraient causés par des collaborateurs, en interne. Dans votre ouvrage, vous enjoignez à se réapproprier la cybersécurité, en se réappropriant l’humain.
Philippe Trouchaud : Je suis d'abord parti d’un constat. Chez PwC, on a pu enquêter sur pas mal d’incidents de sécurité, chez nos clients. Et je n’ai finalement jamais trouvé que la technologie était mise en défaut. C'est toujours soit un problème d’organisation, soit un problème de comportement. Vous n’avez vous-même peut-être pas forcément des codes très sécurisés pour accéder à vos smartphones.
Il y a souvent avant tout des problèmes de comportement humain ou les gens n’ont pas la compréhension de la menace ni des risques.
Ce qui est regrettable : ce marché est mené par les grands de la technologie qui sont plutôt doués dans le marketing, mais qui échouent à expliquer l’étendue du sujet à une entreprise.
Il existe beaucoup de littérature sur la cybersécurité. Paradoxalement, il y a pléthore de livres très technologiques, mais peu sur les sciences de management sur le sujet.
« Refuser de repenser sa cybersécurité est une forme de déconnexion », écrivez-vous. Y a-t-il une prise de conscience des entreprises sur le sujet ?
A Davos, on enquête également sur ce que les CEOs ont en tête. Et ils ont tous la même priorité : investir dans le digital. Ils considèrent les données de l’entreprise comme leur premier actif. Et la cybersécurité n’arrive que deuxième ou troisième risque. Ils sont assez démunis, ils ne savent pas comment influer sur le sujet. Et pendant des années, au niveau central, les entreprises diffusaient des politiques de sécurité en espérant que les gens les appliqueraient correctement. Ce qui n'est pas le cas.
On n’arrivera jamais à un risque zéro ! Et d’ailleurs, souvent ceux qui réussissent sont ceux qui s’approprient le mieux les risques. Ce n'est pas simplement au dirigeant d’imposer sa vision. Le centre qui gouverne tout et impose sa loi partout, en matière de cybersécurité, n'est, à mon avis, pas la voie à retenir.
Au temps du progrès technologique exponentiel, comment faire évoluer la cybersécurité ? Au rythme du progrès ?
Il faut essayer de rester sur les basiques et ne pas se faire déborder par la technologie.
Souvent, dans les incidents, on ignorait ce qu’on avait à protéger. Le dogme « Je protège tout » est très culturel en France. Nous aimons les murs d’enceinte, les principes de sécurité à la Vauban.
Mais compte tenu de ce que les entreprises cherchent à faire dans le digital, il faut qu’elles se réapproprient aussi leur capital informationnel. Qu'est-ce qui me permet de faire de la différenciation sur mes marchés ? Où est-ce que j’innove ? Et donc, quelles sont les informations très confidentielles que je dois protéger ? Voilà la base, à partir de laquelle on peut trouver les moyens technologiques. Et il ne faut surtout pas partir du principe que toutes les initiatives digitales sont des failles de sécurité !
Au contraire, c'est plutôt un gage de sécurité.
Souvent, les problèmes arrivent quand les initiatives digitales se connectent aux anciens systèmes, à ce qu’on appelle les legacy systems, les vieux systèmes des entreprises. C’est là qu’on crée des interfaces souvent très compliquées, et des failles de sécurité.
Le bon réflexe pour une entreprise est d'abord de comprendre ce qu’elle a à protéger.
Verra-t-on demain émerger un nouveau métier, une sorte d’enquêteur de la data en entreprise, un data scientist couplé à un inspecteur de la donnée ?
L’enjeu de surveillance dans une entreprise du CAC 40 génère à peu près un à deux milliards d’évènements de sécurité, par mois. C'est humainement ingérable. Et tous les systèmes ne diront jamais qu’il y a un incident de sécurité. Ils diront qu’il existe un certain nombre de faits statistiques qui montrent quelque chose de potentiellement anormal.
Oui, l’enjeu pour la surveillance en matière de sécurité, est d’être capable de traiter de très grands volumes de données.
Nous avons donc besoin de gens qui ont une compétence statistique très fine, mais aussi capable de remonter à une vision risque.
On peut prédire sans trop se tromper que l’avenir de la surveillance en matière de cybersécurité est à qui saura s’approprier ces outils statistiques et ces énormes volumes de données.
Mot de la fin ?
La cybersécurité, j’en suis assez certain sera un facteur de compétitivité. Tous les dirigeants l’ont bien en tête.
L’avis de L’Atelier :
« Dans le contexte actuel où la digitalisation des entreprises constitue une étape nécessaire dans leur stratégie d’innovation, la sécurité des « data » internes et externes aux organisations représente une priorité majeure aussi bien pour les Etats, les grands groupes que pour les PME et les startups toutes industries confondues. L’enjeu pour les entreprises de toute taille est de sensibiliser leurs collaborateurs aux risques liés à la cybersécurité (à travers la mise en place d’un programme de «Cyber Litteracy ») et de co-développer des solutions technologiques tailor-made en partenariat avec l’écosystème des startups et des centres de recherche académiques. »
Yoni Abittan, digital strategic analyst, L’Atelier BNP Paribas