Cybersécurité : État de l’art et perspectives en entreprise

Le monde numérique par la démultiplication des données comme par son exploitation incontournable est devenu un espace qui régit nos activités quotidiennes comme professionnelles. Qui peut aujourd’hui affirmer ne pas utiliser de courriels, de moteurs de recherche ou de réseaux sociaux ? Parce que le criminel est d’abord un opportuniste, il a compris tout l’intérêt de profiter de la sphère Internet pour commettre ses exactions au travers de modes opératoires divers et variés.

Le monde de l’entreprise n’est pas épargné par la cybercriminalité qui constitue un des défis majeurs pour les années à venir. Elles doivent être capables d’identifier les risques, de détecter les menaces, de sécuriser son activité et d’organiser la riposte potentielle. Quels que soient leur taille économique ou leurs secteurs d’activités, les entreprises sont toutes des cibles intéressantes pour le cybercriminel. Phénomène complexe en mutation et adaptation permanente, le cybercrime rassemblent des techniques, des objectifs comme des motivations très hétérogènes. Le cybercriminel peut être un individu, un groupe extrémiste, une autre entreprise voire même un état étranger.

Les évolutions technologiques autour des clouds, des objets connectés contribuent à la sécurisation de notre patrimoine informationnel mais constituent aussi une faille potentielle qu’il convient de combler. Les cybercriminels déploient des attaques de toute nature allant du plus simple au plus sophistiqué. L’hameçonnage ou la fraude au président par exemple ont récemment généré des pertes financières considérables pour nombre de sociétés. Les fraudes via le net croissent chaque année. Elles étaient de 29% en 2009 et ont atteint les 68% en 2016. Rares sont les entreprises qui témoignent lorsqu’elle sont victimes d’une attaque, accroissant dès lors le chiffre noir de la cybercriminalité.
Hacking, keylogging, fishing, botnets, hoax, spyware, darknet autant de termes exotiques derrière lesquels se dissimulent des préjudicies considérables.

Le cadre juridique de l’espace numérique est souvent méconnu alors qu’il constitue un moyen de protection voire de réparation. La digitalisation de l’univers criminel va très vite, le droit doit être capable de faire face à cette célérité par des dispositifs suffisamment génériques pour englober l’ensemble des infractions. Une infraction qui n’est pas légalement définie n’existe pas et ne peut donc être poursuivie.

En dépit de l’ingéniosité des cybercriminels, une vigilance humaine qui dépasse celle du personnel des services informatiques et qui concerne chaque membre de l’entreprise, élimine bien souvent une grande partie de la menace. Développer une stratégie du risque en matière de cybersécurité est aujourd’hui incontournable au sein d’une entreprise. Face aux défis des nouvelles technologies, la gendarmerie nationale s’est organisée pour faire face aux criminels du Net en mettant en place des structures nationales, régionales et départementales en lien avec les entreprises comme les particuliers.

Mieux connaître ces structures permet de mieux réagir et souvent de mettre en défaut l’attaque.

intervenant : Colonel Patrick Perrot, Commandant du groupement de gendarmerie départementale de la Haute-Marne.

Le règlement général sur la protection des données, communément appelé GDPR, sera applicable en mai 2018.

Entreprises, préparez-vous !

Le règlement général sur la protection des données (General Data Protection Regulation, GDPR) entrera en vigueur le 25 mai 2018. De facto imposé aux pays de l’Union européenne, il concerne l’ensemble des données attenantes à un individu. Ce texte supranational incite les organisations et les entreprises à être davantage vigilantes concernant l’exploitation des données personnelles.

Qui est concerné ? Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel. Elle a vocation à, d’une part, renforcer la législation en matière de protection des données et, d’autre part, harmoniser la législation au sein de l’Union européenne. Il s’agit également, à l’heure où le numérique et la mobilité explosent, de protéger les individus contre la manipulation potentiellement malveillante de leurs données.

Quand le texte entrera-t-il en vigueur ? Cette obligation de conformité sera effective en mai 2018.
Cela ne laisse donc plus que quelques mois aux entreprises pour évaluer leurs systèmes de traitement des données actuels et pour mettre en place une
réponse à cette nouvelle norme.

Si le GDPR peut être perçu comme une contrainte, il est plus pertinent de le prendre comme une incitation à se doter de moyens et de systèmes adéquats pour protéger les données à caractère personnel face aux menaces actuelles.

Alors, êtes vous prêts ?

L’information à distance : renforcement de la sécurité pour plus d’agilité

Le Cloud computing représente une véritable opportunité pour les PME, disposant de moyens plus limités pour se protéger des attaques. Plus qu’une protection, une meilleure disponibilité de l’information dans un monde de plus en plus mobile est un bon moyen d’innover.

Chaque organisation, peu importe sa taille, génère chaque jour d’importants volumes de données sensibles. Propriété intellectuelle, informations financières et échanges de courriers électroniques sont autant d’informations que les entreprises doivent stocker et surtout sécuriser. Le Cloud computing permet à ces entreprises de rester agiles et de réduire l’impact sur leurs systèmes d’information tout en sécurisant leurs données. Il constitue un moyen rentable de réussir. Aujourd’hui, les équipes sont de plus en plus mobiles, ce qui nécessite un accès aux données permanent. Pour beaucoup, le CRM et la gestion des dépenses se font de plus en plus dans le Cloud, et la messagerie électronique migre progressivement.

Sécurisation des données, une promesse de rentabilité

En fin de compte, les informations existantes peuvent être plus sécurisées si un tiers fournisseur de Cloud computing les stocke et les protège. La plupart des entreprises ont du mal à maintenir leurs systèmes patchés, leurs datacenters protégés et leurs terminaux exempts de logiciels malveillants. Les fournisseurs de Cloud computing considèrent les données qu’ils hébergent comme la priorité numéro une car leur rentabilité est directement corrélée à la sécurité et à l’évolutivité de leurs clients. Ils se concentrent sur cette tâche 365 jours par an et 24 heures sur 24, continuent d’investir et de s’assurer de la sécurité, et peuvent souvent mobiliser des ressources bien au-delà des capacités d’une seule grande entreprise pour protéger leurs applications SaaS ou Cloud.

Transformation numérique, choisir le bon fournisseur pour se protéger des cyberattaques

Bien que le Cloud peut être plus sûr et plus agile que les centres de données sur site, tous les vendeurs de Cloud ne se valent pas.

Pour choisir un fournisseur Cloud, les dirigeants de petites entreprises doivent se poser les questions suivantes en matière de sécurité :
• Ont-ils déjà été victimes d’une attaque, qui est responsable de leur sécurité et qu’implique leur processus d’intervention en cas d’incident ? Assurez-vous que vous serez informé conformément à vos propres exigences et choisissez un fournisseur de Cloud computing avec une équipe de sécurité en qui vous avez confiance. Les fournisseurs qui n’ont qu’un seul employé de sécurité ou qui externalisent toutes leurs fonctions de sécurité clés ne répondront probablement pas à vos besoins.
• Comprennent-ils votre secteur d’activité et vos obligations réglementaires ? Posez des questions de base sur votre industrie et si leurs yeux se glacent, passez à autre chose. Incluez une couverture des règlements de conformité pendant votre processus d’interrogation.
• Où les données de mon organisation vont-elles être stockées et comment sont-elles sécurisées ? Demandez une explication détaillée de l’endroit où vos données sensibles seront stockées, comment seront-elles sécurisées par le fournisseur et quels sont les contrôles de sécurité effectués par leurs propres fournisseurs de Cloud computing pour protéger vos informations ?

Le numérique joue un rôle essentiel dans le développement des entreprises de toutes tailles. Le Cloud computing en fait partie et offre de nombreux avantages : une réduction des coûts, une meilleure accessibilité à l’information et un déploiement plus large des services. En parallèle, cela implique un véritable enjeu de sécurité des données. Qu’elles soient limitées en ressources ou non, il est impératif d’intégrer cette dimension dans toute stratégie de protection et d’innovation.

Après 3 milliards de comptes piratés chez Yahoo en 2014, Uber annonce mardi 21 novembre 2017, que des hackers ont volés en 2016 les données de 57 millions de clients : les mails et les numéros de téléphone des clients ont été subtilisés avec les noms et numéros de permis de conduire des chauffeurs.

Une cyberattaque contre une TPE peut la couler. Comment accélérer la protection des entreprises face à ce risque ?
On multiplie les actions pour insuffler la culture de la cybersécurité, inciter à investir selon l’activité et le niveau de risque. En outre, les entreprises attaquées peuvent se faire conseiller via la plate-forme cybermalveillance.gouv.fr.

Du 5 au 14 décembre 2017, l’antenne Champagne-Ardenne de la CCI Grand Est organise les matinales de la stratégie digitale.
Des experts de la blockchain, de la cybersécurité, du financement participatif ou encore de l’e-business entre entreprises vous apporteront conseils et solutions, appuyés par le témoignage d’entreprises. Les dates à retenir :

– Blockchain - Jeudi 7 décembre 2017 dans les locaux d’Innovact à Reims
– Cybersécurité - Mardi 12 décembre 2017 dans l’Amphithéâtre de l’antenne de l’UTT au Pôle Technologique (Bat B) à Nogent
– E-business entre entreprises - Jeudi 14 décembre 2017 à la CCI des Ardennes

Vos contacts pour plus d’information :

Christophe Juppin : 06 33 72 23 11
Alice TARIS : 06 47 42 42 70
Charline Clerget : 03 26 69 02 53
Odile Poncelet : 03 26 69 33 56

Entrée libre

Matinale technologique n°18 : Cybersécurité

Mardi 12 décembre 2017 à Nogent

Journal de la Haute-Marne du 12 décembre 2017

Pour en savoir plus :

– David Biguet : « Il n’y a pas une, mais des industries du futur »
– La donnée : source d’information ou vecteur de confusion
– Matinale technologique n°18 : Cybersécurité le Mardi 12 décembre 2017 à Nogent
– Une matinale protectrice le 12 décembre 2017 à Nogent
– Robotisons nos usines pour sauver notre industrie
– Ce qu’il faut retenir du rapport de Cédric Villani sur l’intelligence artificielle du 28 mars 2018
– Cinétech n°32 : « l’intelligence artificielle appliquée aux véhicules autonomes » le 11 avril 2018 Nogent (52)
– Guerre en Ukraine : la Russie soupçonnée d’une cyberattaque sur 5800 éoliennes allemandes le 24 février 2022
– La cyberattaque du CHU de Rouen serait bien d’origine criminelle le 15 novembre 2019 à Rouen
– UIMM : une formation d’ingénieur en cybersécurité le 24 octobre 2022
– Cybersécurité : Bruxelles s’attaque aux objets connectés le 15 septembre 2022
– Cybersécurité et résilience de l’Usine du Futur le 08 décembre 2022