A l’occasion de la sortie du baromètre 2018 du CESIN sur la cybersécurité des grandes entreprises françaises, Olivier Ligneul, CTO & RSSI d’EDF et membre du CESIN, nous commente les résultats de l’étude.
Lire également notre article sur le baromètre du CESIN : « La cybersécurité des grandes entreprises françaises : le baromètre du CESIN »
- IT Social : Le baromètre vient confirmer que depuis les attaques de Wannacry et celles qui ont suivi, les entreprises ont changé leur perception de la cybersécurité…
Olivier Ligneul : En effet, nous sommes rattrapés par les impacts des attaques, directs comme les pertes de revenus, de production, et ce qui touche au fonctionnement de l’entreprise, mais également avec plus de considération sur les impacts indirects, qui commencent à être pris en compte pas la Direction générale. Nous bénéficions également de l’éclairage du grand public sur les dangers numériques.
- La vision de la sécurité ne repose-t-elle pas encore sur le sécure avant le cyber ?
Il faut séparer le monde en deux aspects : le sécuritaire pour la protection physique, et la cybersécurité. Le numérique n’est plus une fonction support mais une fonction d’exécution des fonctions de l’entreprise. La cybersécurité devient la gestion de risque globale de l’entreprise et de ses mécanismes de protection, et ça c’est nouveau.
- Le RSSI y renforce également sa place…
Le RSSI est mieux entendu comme l’acteur qui protège les éléments numériques. Il est non plus invité mais utile et incontournable pour gérer la protection, avec le DPO et le CIL. Et il doit assumer les enjeux associés, en se retrouvant de fait embarqué sur le juridique, la responsabilité pénale, la gouvernance de l’entreprise, les choix d’orientation, etc. L’évolution du rôle et de la fonction entraine un mouvement vers des directeurs cybersécurité, acteurs et contributeurs sur ces sujets auprès de la Direction générale. Le RSSI est enfin considéré comme un acteur clé, la fonction commence à percer, et la rémunération suit. Et cela nous impose plus de charge de travail.
- Un autre enseignement du baromètre, c’est l’émergence de la cyber-assurance.
Nous avons en effet fait le point sur la cyber-assurance, et 40% de nos membres y ont souscrit. Ce n’était pas un sujet cyber, avant nos réflexions sur la couverture et la prise de risque. Nous devons nous doter de la capacité à faire appel à d’autre moyens, financiers, pour couvrir le préjudice et pour proposer des moyens engageables au moment de l’attaque cyber. La cyber-assurance est un marché en émergence qui commence à adresser un moyen, c’est une bulle d’air dans un contexte de cyberattaque. Il reste la question de la capacité de signer en fonction de l’évolution des risques, ce qui devrait être une partie de la solution au problème.
- Autre constat, le danger ne cesse d’augmenter !
Nous faisons le constat des augmentations. Depuis 2 ans, les volumes d’attaques augmentent encore, le danger est de plus en plus important, comme la cyber-délinquance. Et le Cloud et l’IoT qui commencent à se généraliser.
- Les collaborateurs, également…
Les pratiques des salariés font partie de nos difficultés. Nos membres prennent conscience que nous devons avoir des actions significatives et opératoires. Mais aussi que la liberté est trop généralisée, qu’il faut la restreindre car le risque est trop important. Nous devons faire un ‘back to basic’ du comportement du consommateur. Il faut arrêter le fatalisme en devenant plus contraignant, avec des règles minimales et indispensables, car la menace est en train de dépasser l’utilisateur. Nous devons fixer des règles d’hygiène de l’utilisateur pour contrer des attaques qui s’orientent de plus en plus vers la non prise de conscience de l’intérêt de l’entreprise.
- De notre point de vue, il manque au baromètre une vision de la transversalité de la cybersécurité.
La transversalité ? Elle est comprise par les grands groupes, mais les PME ne l’ont pas complètement ressentie. C’est comme le ‘security by design’, c’est une nécessité qui est encore difficile à généraliser…