Insight était présent au FIC 2018 (Forum International de la Cybersécurité) qui vient de se tenir à Lille. L’occasion de confirmer l’étendue et la complexité à la fois des cyber-menaces et des cyber-défenses. Mais également de constater que la réponse à déployer pour l’entreprise qui veut se protéger n’est pas simple et doit passer par le partenariat et les compétences de ses partenaires. Les seuls à pouvoir lui proposer une solution sur mesure, intelligente et packagée.
Au fil des années, le FIC (Forum International de la Cybersécurité) devient un incontournable de la sécurité des entreprises. Avec sa fréquentation qui ne cesse d’augmenter, le succès de cette manifestation organisée par la Gendarmerie Nationale vient nous rappeler avec à propos que la cybersécurité est devenue aujourd’hui une préoccupation de tous les instants. Cependant, la profusion des intervenants, des exposants et des solutions présentées est la démonstration de la difficulté que les organisations éprouvent à se protéger.
En effet, il suffisait de circuler dans les allées du FIC, ou de fréquenter ses conférences, pour constater combien la problématique de la cybersécurité est complexe, de par les menaces qui pèsent sur les organisations, la difficulté à les identifier, mais également par les réponses à y apporter tant les solutions de sécurité sont pléthore. Difficile également de s’y retrouver dans ces offres, car parmi les tendances qui émergent de cette édition 2018 du FIC figure très clairement l’impossibilité de se protéger en adoptant une solution unique.
Autre trait de caractère de la manifestation, nous sommes tous déjà ou potentiellement victimes des cyberattaques, qui ne cessent d’évoluer en volume comme en complexité. L’attaque est inévitable, surtout que l’intelligence des pirates repose aujourd’hui en partie sur l’ingénierie comportementale, c’est à dire qu’elle cible les utilisateurs pour attirer ou détourner leur attention, et les inviter à commettre un acte aux conséquences funestes pour la sécurité de l’entreprise. Tout simplement à ouvrir même inconsciemment la porte du système d’information pour permettre à l’attaquant de le pénétrer. C’est la seconde tendance que nous avons noté, l’humain reste le maillon faible de la cybersécurité, celui qui volontairement ou involontairement met l’entreprise en danger.
Troisième tendance forte, c’est certainement la souveraineté. Derrière cette expression se cache une question essentielle : où est la donnée ? C’est une question stratégique, les entreprises ne peuvent plus ‘jouer’ avec la donnée ! D’abord parce que sa valeur est aujourd’hui reconnue et ne cesse de s’enrichir, faisant d’elle le premier actif de l’entreprise. Ensuite, parce qu’entre l’ouverture des écosystèmes – l’entreprise, ses collaborateurs, ses partenaires, ses fournisseurs, ses clients, son marché – et les nouvelles technologies, du cloud au Big Data et aux analytiques, la donnée est dispersée mais doit être protégée. Enfin, parce que les partenaires, comme les opérateurs du Cloud et de la sauvegarde, doivent être pris en compte dans le cercle vertueux de la donnée. Il n’est pas admissible par exemple, qu’une donnée soit stockée dans un datacenter en France ou en Europe, mais que la sauvegarde soit localisée aux Etats-Unis, et qu’ainsi les règles américaines donnent à l’administration de ce pays accès à nos données au prétexte d’une réglementation qui favorise ses entreprises locales.
La dernière tendance porte sans surprise sur un environnement réglementaire qui n’a pas fini de peser sur les stratégies des entreprises, le RGPD, le règlement européen pour la protection des données personnelles en tête. Il aura été le fil rouge, le trait commun de ce FIC 2018. Il faut dire que l’échéance est proche, le 25 avril nos organisations devront être en conformité avec le règlement… Ce qui est encore loin d’être le cas pour la majorité d’entre elles !
Je suis une entreprise, comment m'y retrouver et accéder à la bonne solution ?
Comment s’y retrouver dans cette profusion de menaces, de règlements, de solutions de défense également, telle est la question que se sont posées les entreprises qui ont visité le FIC. La réponse n’est pas simple, car elle doit poser sur quatre piliers : l’environnement réglementaire, des solutions adaptées, des compétences souvent absentes de l’entreprise, et une enveloppe budgétaire qui n’est pas extensible et qui nécessite un arbitrage délicat et parfois des prises de risques.
La réponse existe, cependant, qui repose sur les partenaires de l’entreprise. La démarche est différente de celle des fournisseurs. Elle consiste à construire une stratégie de cybersécurité qui repose sur l’intégration poussées d’une combinaison de solutions technologiques intelligentes, associant des services et des produits à un accompagnement transverse à la fois technique, humain, et réglementaire. Dans une entreprise moderne, qui se transforme vers le numérique, les métiers ont pris le pouvoir, mais l’informatique doit être le garant de la sécurité et de la fluidité de la donnée et des systèmes, et pour cela aller vers le business et répondre à ses demande avec des outils sécurisés.
Il y a une ambiguïté dans cette démarche, la sécurité a trop longtemps été considérée comme un métier d’expert, confiée à l’informatique qui a empilé les défenses. Depuis trop longtemps, cela se traduit par une sécurité trop orientée vers les usages personnels, qui repose sur une machine super-sécurisée mais sur laquelle il n’est plus possible de travailler, et où trop de sécurité crée des failles de sécurité. Aujourd’hui, l’entreprise a besoin de solutions intelligentes et packagées, avec des offres innovantes proposées clé en main, des ateliers de découverte, et la volonté des interlocuteurs de discuter ensemble. C’est la complémentarité des solutions et l’accompagnement du partenaire qui apportent la sécurité.
Voilà certainement ce qui manque à l’entreprise qui a visité ce FIC 2018, la possibilité de disposer d’une méta-solution sur mesure et packagée qui répond à ses besoins en matière de cybersécurité. Sans douter de la performance des solutions proposées par les acteurs de la cybersécurité présents, ces solutions seules ne peuvent suffire à répondre aux attentes des entreprises ! Ces dernières seules ne peuvent non plus réunir les ressources et les compétences qui leurs manquent pour atteindre ce but.
Cette mission d’offrir la transversalité d’une cybersécurité sur mesure revient au grand absent de la manifestation, le partenaire, l’intermédiaire, l’intégrateur. Celui qui saura définir, construire et packager la solution non agnostique et sur mesure la plus pertinente pour répondre aux besoins les plus proches de son client, associer les produits et les services, l’accompagner et le former, mettre en œuvre les bonnes méthodologies, et éventuellement la proposer sous la forme de services. Sans oublier d’intégrer la démarche RGPD qui prend en considération les données personnelles, les sécuriser et en protéger les accès, avec les bons outils.
Image d’entête 916204130 @ iStock Antikwar