Par Benoît GRUNEMWALD, Cybersecurity leader – ESET France
« 80 % des entreprises européennes ont connu en 2016 au moins un incident lié à la cybersécurité ». Pourquoi soudainement l’Europe politique semble-t-elle se passionner pour les cybermenaces qui ne sont pas réellement nouvelles ? Réussir la transformation digitale en parfaite conformité avec les règles de cybersécurité nécessite un engagement total au plus haut niveau. Bruxelles montrerait-elle l’exemple ?
Début septembre 2017, des événements passés inaperçus ont d’ores et déjà des conséquences sur le marché des cyberattaques. La Commission européenne a proposé une série de mesures pour mieux protéger l’Europe contre les cyberattaques. Parmi ces projets, créer une agence dédiée (en réalité, augmenter les pouvoirs de l’ENISA actuelle) et développer un label européen pour les prestataires. Seconde information : le 07 septembre 2017 exercice de simulation « EU Cybrid 2017 ». Tous les ministres de la Défense des pays membres de l’UE ont plongé dans le bain d’une cyberattaque simulée.
Exercice salutaire si l’on se souvient qu’en 2016, plus de 4 000 attaques quotidiennes via des ransomwares ont été comptabilisées au sein de l’UE. La Commission en charge des risques numériques liés aux cyberattaques précise que « 80 % des entreprises européennes ont connu en 2016 au moins un incident lié à la cybersécurité ». Pourquoi soudainement l’Europe semble-t-elle se passionner pour les cybermenaces qui ne sont pas réellement nouvelles ?
Selon Bruxelles, « c’est une question économique clé, mais aussi une question politique dans la mesure où la nouvelle génération de cybermenaces vise les institutions démocratiques ». D’où cette double approche par les textes et par les simulations. À Tallinn, en Estonie, la simulation devait évaluer la réactivité et la capacité de prise de décision des ministres européens face à une cyberattaque internationale sur des cibles stratégiques.
Durant 90 minutes, les ministres ont fait face à une crise technique (prise de contrôle d’opérations navales) mais aussi politique avec volonté de la part des cyberattaquants de créer des mouvements de protestation via divers canaux dont les réseaux sociaux. Dans une telle configuration, comment prendre les bonnes décisions à plusieurs ? Comment se coordonner puis se synchroniser dans les réponses techniques et politiques ?
Lors de la dernière édition du FIC à Lille, Jean-Yves Le Drian alors ministre de la Défense, livrait des chiffres intéressants : la France compte 2 600 cyber-combattants et estime avoir déjoué pas moins de 24 000 cyberattaques en France en 2016.
Cette prise de conscience au plus haut niveau des États européens pose la question de la même prise de conscience au niveau des entreprises et organisations. Depuis bon nombre d’années, elles ont compris l’aspect stratégique des cybermenaces tant pour leurs problématiques de confidentialité et leur business que pour leur capacité à consolider la confiance avec leurs administrés et clients.
Reste qu’à une période charnière où les entreprises entament la délicate phase de transformation numérique afin de restructurer leurs organisations (souvent en silo), intégrer les procédures propres à la cybersécurité n’est pas une opération aisée. Réussir la transformation digitale nécessite un engagement total au plus haut niveau. Est-ce toujours le cas au sein de toutes les entreprises ? L’UE serait-elle en train de montrer l’exemple ?
Ces questions s’avéreront encore plus stratégiques en 2018, année d’entrée en vigueur du RGPD (Réglementation européenne pour la protection des données à caractère personnel). D’autant que toutes les organisations n’abordent pas la problématique sécuritaire avec la même démarche en fonction de leur culture et de leur appartenance sectorielle. En outre et au-delà des aspects cybersécurité, apparaissent de plus en plus les technologies propres à la sûreté. Idem pour les dossiers budgétaires, audit, risques management, conformité réglementaire…
Parmi les principaux défis à relever pour bien négocier le virage numérique, impliquer les directions générales et secrétariats généraux via la prise de conscience d’enjeux stratégiques demeure donc prioritaire.
Si l’on considère que la sécurité repose forcément sur un tiers, les services proposés par les éditeurs spécialisés jouent aussi un rôle stratégique. Quelle confiance accorder aux technologies proposées sur le marché ? Quelle importance accorder à l’origine européenne d’un éditeur par rapport à un autre ? Ainsi, dans le cas d’un prestataire complet tel qu’ESET (produits, services, laboratoires, intelligence) présent sur le marché depuis plus de 30 ans, dont la majorité des clients stratégiques sont présents en Europe ou sont européens. Pour la plupart, il s’agit au-delà d’organisations privées, d’entités institutionnelles dont les données représentent des enjeux stratégiques.
https://www.eda.europa.eu/info-hub/press-centre/latest-news/2017/09/07/first-cyber-exercise-at-eu-ministerial-level-focuses-on-strategic-decision-making