Protection des données personnelles, demande de rançons, développement de l’IA : le nouveau visage de la cybersécurité

L’année a commencé fort. Le 3 janvier, deux bugs critiques ont été repérés : Meltdown et Spectre. Ils touchent directement les processeurs Intel et mettent en péril des applications critiques.

Après une année 2017 marquée par une prise de conscience généralisée, 2018 sera l’année de la cybersécurité. Intégrée directement aux nouveaux produits, de l’IA à la blockchain, renforcée au sein des systèmes d’information, et objet de stratégies de résilience, pour Vincent Maret, expert KPMG, la cybersécurité va passer à la vitesse supérieure.

2017 a été marquée par de grandes révélations. Est-ce que cela a changé l’approche des entreprises vis-à-vis de leur cybersécurité ?

La nouveauté c’est que cette année, nous avons vécu des incidents de cybersécurité, des attaques, ayant des impacts matériels, au sens financier et légal. C’est-à-dire qu’ils ont frappé très durement les entreprises et, au-delà, potentiellement leurs partenaires, leurs clients et leurs investisseurs.

Cela s’est traduit par trois phénomènes :

– des atteintes aux cours de Bourse. Suite à la révélation de son piratage, Equifax  a vu son cours en Bourse chuter de 30% en quelques heures. Equifax c’est une célèbre entreprise américaine d’évaluation de crédits qui s’est fait voler des informations concernant 143 millions d’Américains, Britanniques, Canadiens etc.

– les têtes roulent. Toujours dans le cadre de l’affaire Equifax, le responsable sécurité et le responsable informatique sont partis dans la journée. Le DG, lui, a tenu 15 jours avant d’être poussé à la démission par son conseil.

– des amendes et dommages à payer. Il y a un renforcement du règlementaire, principalement en ce qui concerne les données personnelles, qui peut coûter cher.

Aux États-Unis, il y a eu des communications répétées de la part de la SEC, l’organisme fédéral de réglementation et de contrôle des marchés financiers, afin que les top managements se saisissent du sujet, comme ils le font pour n’importe quel risque matériel, que ce soit du risque de crédit ou de marché.

Le message de la SEC était : « Ne me dites pas que vous n’avez pas à vous en occuper, que vous n’avez pas à communiquer aux investisseurs ».

En Europe, le GDPR, Règlement général sur la protection des données, n’est pas encore en application [NDLR, il entrera en vigueur le 25 mai] mais on sait que le régime d’amende a été très alourdi en cas de défaillance, de violation de données. Il pourra aller jusqu’à 4% du chiffre d’affaires brut.

Et puis il y a un risque d’image. Il est évident que les personnes concernées ne sont pas très contentes. Des class actions, des actions de groupe, notamment peuvent se mettre en branle. Il y en a plusieurs d’ailleurs en cours avec Equifax. D’ailleurs le GDPR le prévoit explicitement. Il pourra y avoir non seulement une amende administrative mais ensuite des dommages au civil notamment sur une approche d’action de groupe.

Enfin il y a le manque à gagner. Dans le cadre de l’affaire NotPetya, un malware s’est répandu détruisant les systèmes d’information, et mettant à terre des entreprises sur des périodes allant jusqu’à une quinzaine de jours. Ça leur a couté des centaines de millions d’euros ou de dollars de chiffre d’affaires. Il y a aussi des entreprises dont les usines se sont arrêtées, manifestement par prévention.

2017 a été l’année où les éléments ont illustré le fait que les risques cyber pour les entreprises peuvent être matériels et coûter des centaines de millions d’euros, voire la démission du top management.

Ce ne sont plus des délires de futurologues, c’est arrivé. Et aujourd’hui, pour les DG, une attaque peut mettre fin à une carrière comme le disait le Wall Street Journal il n’y a pas longtemps.

La cybersécurité rejoint les grands sujets qui sont à la table d’un conseil d’administration, avec les grands scandales de la comptabilité frauduleuse, qu’on a pu voir avec Enron, et les atteintes à l’environnement.

Les pirates sont enfin pris au sérieux. Photo par Markus Spiske

Suite à cette prise de conscience, qu’est-ce qui va changer ?

Il va y avoir un gros travail dans les entreprises. Comme les têtes roulent, les conseils d’administration vont demander plus d’états des lieux, avec des questions très basiques : cela peut-il nous arriver ?

Et d’autre part, il y aura des lancements, renforcements ou accélérations de programme de cybersécurité dans l’entreprise. Longtemps la sécurité a été le parent pauvre des entreprises notamment en termes de budget. Aujourd’hui, ce que nous disent nos clients c’est que le sujet n’est plus le budget mais les compétences et ressources. La Société Générale a annoncé il y a quelques semaines investir 650 millions sur la cybersécurité d’ici 2020, ce qui est énorme.

Ce renforcement de la cybersécurité ne doit pas se faire à l’encontre de l’innovation numérique.

Les entreprises aujourd’hui sont en pleine transformation numérique, cela veut dire beaucoup de bouleversements, de la technologie à tous les étages, des nouvelles technologies, comme de la blockchain, l’intelligence artificielle, etc.

Il y a donc un double enjeu : sécuriser tout en continuant à bouger d’un point de vue techno et business. Si vous avez deux fonctions, une qui innove, qui disrupte, et une autre qui ferme tout, qui protège, qui interdit, ça ne va pas aller.

Face au risque, ne serait-il pas intéressant de se déconnecter ?

Dans cet équilibre là, ça ne me choque pas qu’il y ait des entreprises qui disent : en fin de compte la productivité additionnelle que nous amène telle ou telle fonctionnalité de connectivité, de cloud, etc, c’est sympa mais ça représente trop de risques. Ce serait trop difficile à sécuriser donc, dans ce cas spécifique, on va s’en passer.

Après avoir reçu un grand coup sur la tête, je pense que ça peut-être une tentation. Ça ne me choque pas, au contraire, ça me semble être une gestion des risques très saine. Mais il ne faut pas que ça crée des comportements de contournement par les utilisateurs parce que là, on a le pire des deux mondes.

Avec Spectre et Meltdown, le risque vient des fabricants, la menace semble venir de tous les côtés. Peut-on vraiment éviter le piratage ?

Rien n’est 100% sécurisé. Il faut arrêter de mentir sur notre capacité à tout contrôler. On doit toujours intégrer des systèmes existants – par exemple les ordinateurs qui ont des processeurs. Il y a une dépendance envers des tiers.

Il y a deux attitudes à prendre.

Il faut se mettre dans une position de défense en profondeur. C’est le principe du château, il y a les douves, les murailles, les échauguettes, et enfin le donjon.

Les bons plans moyen-âgeux. Photo par Lars Stuifbergen

Le deuxième concept est le principe de résilience qui est lié, non pas aux lignes de défense, mais à la capacité du processus métier sous-jacent de continuer à fonctionner plus ou moins bien même s’il prend des coups. Vous devez concevoir vos processus métier pour que vous ne soyez pas entièrement dépendant d’un système d’information.

Cela existe depuis quelques années mais actuellement les entreprises se sont renforcées sur ce sujet. Certaines s’attaquent elles-mêmes de manière aléatoire pour apprendre à réagir afin que le jour où il y ait une vraie attaque cela soit presque invisible.

Au lieu de faire venir des entreprises pour faire des tests d’intrusion et les payer au temps passé, des entreprises font appel à des chasseurs de prime, ces personnes ne sont payées que si elles trouvent une faille. Il s’agit là de bug bounty.

Est-ce que la réaction aux demandes de rançon va changer ?

En novembre, Uber a révélé avoir été victime d’un piratage informatique et avoir payé 100 000 dollars pour que les pirates gardent le silence. Ce qui a choqué les États-Unis, c’est le fait qu’ils aient cherché à cacher cette faille en planquant la rançon sous un programme de bug bounty.

Aux États-Unis, il y a une loi fédérale qui est en cours d’écriture. Elle adresse l’obligation de communiquer aux autorités et aux parties prenantes quand il y a une faille de sécurité.

En Europe, avec le GDPR, la loi sur les OIV et la loi NIS, ces actions deviendront illégales puisque vous aurez une obligation de notification aux autorités voire aux personnes concernées. Le GDPR incite les entreprises à mettre en place des systèmes de détection d’incident.

Ensuite il y a le problème de la gestion de crise. Le jour où cela arrive, que fait-on ? Que fait la direction générale ? Que font les RH ? Que fait la communication ?

Comment se préparer à l’évolution du cyber-piratage ?

Il y a un sujet qui est lié à ce que j’appelle les « nouvelles nouvelles technologies », à savoir tout ce qui est lié à la blockchain, l’intelligence artificielle, les objets connectés, la big data.

Il est absolument nécessaire d’intégrer l’aspect cybersécurité et la protection des données personnelles dès le début, dès le développement.

Et si un pirate prenait contrôle de votre véhicule autonome ?

Et si un pirate prenait le contrôle de votre véhicule autonome ? Image par Volvo

La sécurité n’est pas quelque chose d’intrinsèque mais de construit. Une personne qui pense que la blockchain est sécurisée risque donc d’avoir des déconvenues.

Il y a aussi le sujet de l’intelligence artificielle. Elle sera en même temps un outil de sécurité, une menace – quelqu’un qui en prend le contrôle peut faire ce qu’il veut – et une cible – il n’y a pas de raison que les pirates, les attaquants, les mafias… n’utilisent pas cette technologie.

Dans le cadre des objets connectés, la réglementation va pousser à la protection des données personnelles. Je ne vois pas comment on pourrait avoir des voitures autonomes dans nos rues sans qu’il y ait une réglementation spécifique liée à la cybersécurité. Une personne qui prendrait le contrôle d’une voiture à distance pourrait tuer des gens.

L’enjeu pour les entreprises est de réussir à faire collaborer des personnes qui créent et des personnes qui contrôlent. Il ne faudrait pas d’une part un lab de Géo Trouvetout, de savants fous, qui développent plein d’inventions, et d’autre part la police qui essaie de les empêcher.

L’un des enjeux de 2018 est d’avoir cette collaboration constructive et intelligente entre les gens de la cybersécurité et les ceux qui sont sur de nouveaux projets.

Photo par Jon Moore

A lire aussi

La communauté des leaders de l'innovation

Innovating in good company

Rejoignez-nous