Quel rôle pour la sécurité informatique dans la transformation numérique ?

0

Alors que la transformation numérique ne cesse d’avancer en impactant tous les aspects de notre vie (privée, professionnelle, sociale…) et en faisant beaucoup parler d’elle, le risque informatique n’a pas la même visibilité ni le même engouement. Le mot « risque » en lui-même est négatif et austère. Il ne donne pas envie de se pencher dessus voire nous voulons le fuir.

Il se dégage l’impression que nous nous préoccupons du risque qu’une fois qu’un incident remarquable a déjà eu lieu. Nous avons tendance à oublier les recommandations de nos grands-mères « mieux vaut prévenir que guérir » et à foncer tête baissée sans se rendre compte des dangers qui nous entourent.

Le risque ? Quel risque ?

Alors où en est-on de la transformation numérique ? Quelle est sa corrélation avec le risque informatique ? Pourquoi ce risque est-il encore minoré ?

État des lieux de la transformation digitale

Chaque jour nous vivons en direct la transformation numérique. Elle fait partie de notre quotidien et nous nous adaptons subrepticement à toutes les innovations qui nous sont offertes. La transformation numérique (ou digitale) se définit comme l’intégration de toutes les technologies digitales dans tous les aspects de la société humaine.

Cette transformation impacte et transforme de nombreux pans de notre vie professionnelle ou personnelle. Elle touche notamment :

  • Nos ressources : accumulation et analyse des données dans le Big Data, dématérialisation des SI vers des Cloud, transmission du savoir extrêmement facilitée (grâce à Wikipédia, des vidéos en streaming…)
  • Nos objets : ordinateurs, tablettes, smartphones, développement massif des IoT (objets connectés)
  • Nos habitudes : BYOD (Bring You Own Device), connexion à distance (et donc télétravail), liaisons numériques de plus en plus resserrer entre la sphère privée et professionnelle, développement permanant des réseaux sociaux…

Il est désormais impossible de passer à côté de cette transformation sous peine d’exclusion de la société (comme par exemple l’inscription à Pôle Emploi qui s’effectue uniquement en ligne).

Au même titre que l’invention de l’imprimerie ou la révolution industrielle, il est impossible de passer à côté de la transformation digitale. Pour une entreprise, il est même vital d’en prendre part et d’être en avance sur ses concurrents. Elle n’est donc pas prête à ralentir !

Evolution de l'Homme

Quelle est la relation entre transformation digitale et risque informatique ? De quels risques parlons-nous ?

Comme nous l’avons vu la transformation digitale touche aujourd’hui toutes les organisations ce qui métamorphose leurs processus en créant des systèmes d’information (SI) de plus en plus poreux. Fatalement, la transformation digitale s’accompagne d’une augmentation des risques informatiques.

Les nouvelles menaces ne cessent de croitre et chaque jour apporte sa nouveauté. L’Homme aimant les énigmes et les challenges, les pirates s’attèlent quotidiennement à trouver des failles dans la sécurité des entreprises !

Dans les cybermenaces qui sont désormais classiques sur le web nous pouvons lister :

  • Les attaques majeures type ransomware qui évoluent très rapidement.
  • La fuite de données aussi bien pour les organisations que les particuliers. Souvent une attaque sur les organisations va de toute façon impacter les particuliers.
  • La non-maitrise des prestataires qui ne font pas forcément attention à leur propre sécurité informatique.
  • La fraude interne ou externe aux organisations

De plus, il existe une vraie question de responsabilité juridique avec la pratique du BYOD. En effet, les salariés mélangent de plus en plus les données personnelles et les données professionnelles. En cas de problème, est-ce de la responsabilité de l’employeur ou du salarié ? Il convient à tous de se prémunir de ce risque juridique.

Autre problème majeur, la gestion du risque n’est généralement pas gérée en amont. Encore trop souvent les organisations prennent des décisions concernant ce sujet qu’une fois qu’un grave incident a eu lieu. Pire, certaines attendent même qu’une réglementation existe pour agir. Mais ne leur jetons pas la pierre, il a fallu attendre une loi obligeant le port de la ceinture de sécurité pour que tout un chacun l’utilise (enfin j’espère que c’est bien votre cas 😉 ).

En réalité, la gestion du risque doit être pensée au début des développements des processus afin qu’elle réponde au mieux au besoin de protection de l’organisation mais également au besoin des utilisateurs.

 « Il est impératif d’intégrer la sécurité dès le début des développements sinon c’est beaucoup plus cher en cas d’attaque. »

Guillaume Poupard, Directeur Général de l’ANSSI

La non gestion du risque ou sa mise en place bancale est un signe du désintéressement des décideurs sur ce sujet et de la difficulté à mettre en place une bonne pratique de sécurité informatique.

Pour quelles raisons le facteur « risque informatique » est-il minoré ?

De trop nombreuses entreprises et administrations minimisent encore le risque encouru par la transformation numérique. Le risque virtuel intangible est parfois difficile à appréhender par l’humain, ce n’est pas un risque intuitif.

Le/la RSSI (Responsable de la Sécurité des Systèmes d’Information) est souvent perçu/e comme la personne qui voit le verre à moitié vide et qui noircit le tableau. Avec un discours très technique et contraignant, il donne une impression de conservatisme alors que le vrai rôle d’un RSSI et d’accompagner au mieux la gestion du risque.

Quand j'ai rendez-vous avec le RSSI !!

Il ne doit plus être vu comme celui qui dit « non » mais comme celui qui apporte des solutions à des risques potentiels. De façon globale, il y a un vrai manque de sensibilisation face au risque informatique. Le poste de RSSI est peu présent dans les PME qui rappelons-le représentent 95,86 % des entreprises françaises hors TPE et microentreprises (4% pour Entreprises de Taille Intermédiaire et 0,2% pour les Grandes Entreprises, chiffres Insee 2016). Il existe donc un vrai challenge pour créer ce poste en entreprise ou l’externaliser, mais l’instaurer serait déjà un grand pas.

Une organisation ne possède pas des fonds illimités, il y a donc un arbitrage à faire dans un budget pour l’attribution des dépenses. La volonté d’aller plus vite que le concurrent dans le développement technologie peut s’entendre d’un point de vue stratégique : il faut faire mieux que l’autre. D’autre part, les dépenses liées à la gestion des risques ont un ROI moins facile à mesurer que d’autres dépenses. Il est en effet plus facile de voir qu’en investissant dans des chaises de bureau confortables et dernier cri : les employés sont contents, les locaux s’embellissent et améliorent l’image de l’entreprise, les arrêts maladies diminuent. L’impact d’un investissement dans le risque va être plus flou à mesurer. Par conséquent les budgets alloués à ce secteur sont souvent insuffisants.

C’est donc clairement un facteur humain qui entraine cette gestion du risque insuffisante.

Face à ce constat, les entreprises qui ne sont pas en capacité humaine ou financière de mettre en place une politique de sécurité informatique efficace peuvent confier ce risque à des entreprises prestataires comme ITrust.

La transformation digitale bouleverse notre quotidien et celui de nos organisations. L’ouverture des SI implique une augmentation mécanique du risque informatique. La gestion de ce risque joue donc un rôle essentiel dans la transformation numérique et pourtant les moyens financiers et humains mis en jeu sur cette problématique restent très insuffisants.

Alors réagissons et sortons couverts ! 😊

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply