Cybermenace : les entreprises françaises en grand danger<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Economie
Cybermenace : les entreprises françaises en grand danger
©PATRICK KOVARIK / POOL / AFP

Et du coup nous aussi

L'Institut Montaigne vient de publier un rapport intitulé : Cybermenace, avis de tempête. Les experts auditionnés tirent la sonnette d'alarme.

Gérôme Billois

Gérôme Billois

Gérôme Billois, expert cyber sécurité au sein du cabinet Wavestone et du Cercle européen de la sécurité et des systèmes d’information, en charge des attaques sur objets connectés pour le panorama de la cybercriminalité du CLUSIF, a notamment travaillé sur les voitures connectées.

Voir la bio »

Atlantico : Quels sont les risques que fait peser la « cybermenace » sur les entreprises ? Est-ce qu'un type d'entreprise est plus ciblé qu'un autre ? Le développement des interconnexions et celui des outils connectés accentuent-ils la menace qui plane sur les entreprises ?

Gérôme Billois : Aujourd’hui, toutes les entreprises sont ciblées. Qu'elles soient petites ou grandes. Il y a deux grands risques par rapport au risque cyber. Un risque d'interruption des opérations (arrêt de tous les systèmes numériques), vous imaginez les difficultés dans le cas d'installations sensibles comme les hôpitaux par exemple et, le deuxième grand risque, moins visible, celui d'une fuite des données personnelles. Cela peut concerner les fichiers client, mais cela peut aussi être des données plus sensibles comme des secrets industriels, des brevets, etc.

L’État a mis en place des réglementations spécifiques autour des entreprises que l'on qualifie « d'importance vitale », qui font que le pays fonctionne et que l'on est en sécurité au quotidien. Ces opérateurs ont des obligations légales de répondre à des exigences de sécurité, ce qui permet de prévenir des situations qui auraient des impacts économiques extrêmement importants ou porteraient atteinte à la sécurité des personnes.

Oui, le développement des interconnexions et la multiplication des outils connectés ont accentué le risque cyber. Plus il y a de numérique autour de nous, plus l'exposition au risque est importante. C'est bien pour cela que lorsque l'on met en place de nouveaux systèmes numériques, il faut s'assurer qu'ils soient sécurisés. C'est une contrainte supplémentaire et le problème aujourd’hui sur le marché c'est que les solutions qui sont conçues le sont souvent sans que la prise en compte de la sécurité ait été faite.

Le problème se situant dans l'immense majorité des cas entre la chaise et l'écran, que penser de la formation des personnels et la sensibilisation de ces derniers sur cette menace ?

Oui, entre la chaise et l'écran il y a un maillon faible qui est l'humain. Et on a vu des attaques qui reposaient sur l'exploitation de cette faille car les personnels n'ont pas été assez attentifs et formés mais il n'y a pas que ce type d'attaques.

Il faut séparer les compétences en cybersécurité dans les équipes en charge du numérique et les compétences du grand public. Dans le cas du grand public, il y a quand même des campagnes de sensibilisation dans tous le pays qui font progresser les choses ; néanmoins, cela reste quand même embryonnaire.  

Dans les entreprises, il y a tout de même beaucoup plus de moyens mis à disposition aujourd'hui mais la problématique est d'avoir des gens formés dans ce domaine. Beaucoup de formations en cybersécurité ont vu le jour mais cela va encore prendre du temps pour que les personnes soient effectivement formées.

Enfin, que penser de la réponse publique en la matière ? Est-ce que de simples déclarations sur la cyberpaix sont bien réalistes ?

Il y a deux choses dans la réponse de l’État. La première chose, c'est la politique concernant les opérateurs d'importance vitale. L'ANSSI vient de passer un deuxième cap en portant le nombre d'entreprises ciblées par des règles similaires à 1000, au lieu de 200 auparavant. Évidemment, c'est une goutte d'eau par rapport à la complexité du tissu économique national mais la préservation de nos actifs les plus importants est une préoccupation qui progresse et qui progresse bien.

Il n'empêche que nous sommes en retard par rapport à l'évolution de la menace. Quand un cybercriminel mettra en moyenne une semaine à s'introduire dans un système d'information, il faudra en moyenne 106 jours à l'entreprise pour s'en rendre compte. Il y a donc une marge de progression très forte. Par rapport à d'autres pays dans le cas précis de la protection des entreprises, nous ne sommes pas vraiment en retard si l'on en juge les attaques qui ont pu avoir lieu au Royaume-Uni, en Allemagne ou aux Etats-Unis.

Un des points clé du rapport de l'Institut Montaigne est le manque de compétences et le manque de bras en matière de cybersécurité. Nous pouvons être visés par une attaque qui serait majeure et qui toucherait tout un pan de l'économie simultanément. Un « cyberouragan » en somme. Le jour où cela arrive, nous n'aurons pas assez de monde pour gérer cette crise. Il faut aujourd'hui être capable de faire preuve de solidarité en la matière. A la fois entre les entreprises mais aussi entre l’État et le secteur privé afin d'être en mesure de juguler cette potentielle crise.
Et même avant que la crise intervienne ! Aujourd'hui nous recommandons aux grandes entreprises qui ont fait cet investissement stratégique d'aider leurs sous-traitants à monter en compétence pour que les entreprises puissent anticiper ce qui peut leur arriver.  

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !