Interview. Aymeric Ducros : « La cybersécurité est l’affaire de tous »

L’hyper-connectivité de nos environnements personnels et professionnels nous expose à des risques de cyberattaques auxquels chacun doit être sensibilisé. La cybersécurité est un enjeu majeur pour toutes les organisations. La 20ème enquête mondiale sur la sécurité de l’information réalisée par EY rappelle quelques règles simples, mais détaille également des stratégies de défense contre ces risques. En savoir plus avec l’interview sur le sujet d’Aymeric Ducros, un des experts de Métropolitain.

>> Quelles sont les vulnérabilités et menaces qui exposent les organisations aux risques de cyberattaques ?

La plus grande part de vulnérabilité aux cyberattaques provient d’une personne imprudente. Un employé négligent ou mal informé peut ainsi être escroqué et diffuser des informations à un tiers intéressé, pour obtenir des données sensibles, voire pour détourner de la trésorerie (à travers la fraude au président par exemple). Les architectures réseaux ou les contrôles de sécurité obsolètes sont également des vulnérabilités fortes au sein des entreprises.

Les logiciels malveillants (malware) et techniques d’hameçonnage (phishing) représentent quant à eux les plus gros risques en cybersécurité.

Pour faire face à ces risques de cyberattaques, les moyens financiers et humains alloués dans les entreprises et administrations publiques ne sont pas toujours à la hauteur des menaces.

>> Quelles sont les caractéristiques des cyberattaques ?

Les cyberattaques sont de deux grandes catégories.

  • Les attaques traditionnelles sont basées sur l’exploitation de vulnérabilités connues. Elles sont généralement conçues à partir de kit de piratage disponible sur internet, et ne nécessite pas de compétences pointues pour les mettre en œuvre. Des concurrents, des hackivistes ou autres groupes de criminalité organisés peuvent les utiliser pour des cyberattaques.
  • Les attaques avancées nécessitent des expertises étendues car elles vont cibler de nouvelles vulnérabilités et failles de sécurité qui n’auront pas encore été identifiées par l’organisation. Etant donné qu’il est nécessaire de recourir à des outils sophistiqués et des méthodologies élaborées et complexes, ce sont surtout des cyberterroristes, des organisations criminelles, des  Etats ou grandes entreprises (dans le cadre d’espionnage industriel par exemple) qui peuvent déclencher de telles attaques.

>> Comment se prémunir face à ces risques : quelle stratégie adopter ?

Afin d’assurer une protection efficace au sein des organisations, cinq piliers clés de la cybersécurité se dessinent :

1. La cybersécurité doit être la responsabilité de tous les collaborateurs au sein des organisations, car ce sont de véritables remparts pour protéger l’organisation. Il convient de créer une véritable culture de la cybersécurité et de la gestion des risques. Cela passe par des formations régulières et des tests d’aptitudes pour s’assurer que les collaborateurs ont intégré le devoir de vigilance dans leur comportement quotidien.

2. La cybersécurité doit être intégrée dans l’ensemble des canaux d’innovation de l’organisation : transformation digitale, sécurisation des transactions, stratégie de défense des nouveaux produits et services (notamment pour les objets connectés).

3. Il est nécessaire de recenser les risques et de les hiérarchiser à travers une cartographie des risques. Cette cartographie doit permettre à l’organisation  de mesurer son exposition aux risques et doit contribuer à l’amélioration continue de sa politique en matière de cybersécurité.

4. La meilleure défense c’est l’attaque avec le développement de l’intelligence artificielle et la mise en place de mesures telles que : le recours à des algorithmes pour détecter les menaces, l’interruption automatique des appareils corrompus…

5. Enfin, en cas de cyberattaque, l’organisation doit pouvoir être capable de restaurer ses données critiques. C’est pourquoi, un plan opérationnel de restauration des données et des systèmes critiques doit être mis en place et être testé régulièrement pour pouvoir faire face à la menace lorsqu’elle se présentera.

 

Expert : Aymeric Ducros.
Senior Manager – Audit et conseil financier aux entreprises
EY (Montpellier)
aymeric.ducros@fr.ey.com

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *