Jan De Bondt
Un score CPE pour votre habitation, un label énergétique pour votre frigo, un niveau maximal de CO2 pour votre voiture… A l’heure actuelle, nous attribuons un label à tout ce qui nous entoure afin de vérifier la qualité du produit que nous achetons. De même, dans le secteur financier, des notations permettent de vérifier si une société est rentable ou fiable. Mais comment savoir si vos partenaires satisfont aux règles en matière de sécurité informatique, en particulier compte tenu des strictes directives RGPD et des amendes qui l’accompagnent? Ne tournons pas autour du pot: à mesure que l’économie accomplit sa transition numérique et que les données migrent toujours plus vers le cloud, il devient plus intéressant pour les pirates de dérober des données. Un seul chiffre suffit pour l’illustrer: 531.596.111. C’est le nombre de fichiers de données qui ont été dérobés à l’échelle mondiale en l’espace d’un mois (septembre). Sur un an, le total dépasse amplement les 10 milliards. Un beau dix suivit de neuf zéros!
A cela s’ajoute que personne n’est à l’abri. Le phénomène concerne aussi bien les grandes multinationales, les pouvoirs publics que la PME wallonne moyenne. Consultez tout simplement les infos de ces dernières semaines et mois: une attaque DDoS visant les plates-formes numériques du parti politique britannique Labour, des pirates qui exigent 6,8 millions de dollars, via rançongiciel, de la compagnie pétrolière mexicaine Pemex… Chez nous, il y eut évidemment Asco à Zaventem et, plus récemment, une cyber-attaque visant l’Université d’Anvers et la société industrielle Picanol. La cyber-criminalité est donc en train de devenir l’un des principaux risques opérationnels pour les entreprises et les organismes. Elle a non seulement un impact sur le fonctionnement quotidien et sur le chiffre d’affaires – certaines sociétés sont paralysées plusieurs jours – mais elle est également néfaste pour la réputation d’une société.
Notation de cyber-sécurité
Il est malheureusement fréquent que la cyber-sécurité ne fasse son apparition dans l’agenda du Conseil d’administration qu’après qu’un piratage ait eu lieu. Ce n’est qu’à partir de ce moment que la demande du département IT, sollicitant la mise en oeuvre d’une politique de cyber-sécurité digne de ce nom, n’atterrit plus dans l’oreille d’un sourd. Malheureusement, un responsable informatique éprouve des difficultés à expliquer les cyber-risques. Il s’exprime en termes techniques tandis que le Conseil d’administration parle souvent chiffres. Ou, autre possibilité, ce dernier s’interroge sur l’opportunité des gros investissements en cyber-sécurité que demande l’IT, partant du principe que le risque de voir la société être victime d’une attaque est réduit. (Il n’a par ailleurs pas conscience du nombre de tentatives d’attaques qui peuvent être stoppées à l’aide d’une bonne solution de sécurité.)
En fait, il est nécessaire d’attribuer aux entreprises, en plus de la notation financière qui qualifie leur rentabilité, une cotation de cyber-sécurité. Un chiffre ou un code qui signale, en un seul coup d’oeil, que ce soit vis-à-vis du monde extérieur ou des partenaires commerciaux, dans quelle mesure la société est protégée contre la cyber-criminalité. C’est une indication tout aussi importante que la première. Ce score objectif rend la dimension cyber-sécurité compréhensible par les administrateurs.
Imaginez en effet que votre entreprise investisse énormément en sécurité et soit parfaitement en règle avec la plus rigoureuse des législations. Vous exigeriez alors également de vos partenaires (et de vos clients) qu’ils veillent à garantir le même niveau de cyber-sécurité. Mais comment le vérifier? Un Security Rating indépendant vous permettrait de le savoir et vous sauriez avec quels vis-à-vis vous pouvez collaborer en toute sécurité. Cela devient alors un argument commercial.
Cela peut également jouer un rôle lors d’acquisitions. Si la notation Sécurité de votre société est A+ et que vous désirez racheter une autre société qui est affublée d’un score inférieur (C-), vous serez à même calculer de manière objective combien il vous en coûtera d’amener sa sécurité IT au même niveau. Et vous pourrez dès lors inclure éventuellement cet élément dans les négociations de prix.
Quand vous achetez un frigo, vous attachez également de l’importance aux meilleurs labels énergétiques, non? Dans ce cas, pourquoi ne pas faire attention aux notations de cyber-sécurité dans le cadre de vos activités commerciales?
L’auteur, Jan De Bondt est Head of Security Advisory Services chez SecureLink-Orange Cyberdefense.