Les cyberattaques ne sont pas nouvelles et gagneront en fréquence du fait de l’omniprésence de l’informatique dans nos vies, de l’invasion des objets connectés, de la multiplication extraordinaire du volume de données échangées et recueillies, de la transformation numérique qui dématérialise de plus en plus d’activités, et, enfin, de « l’attrait » d’une criminalité à moindre risque car déployée dans un cyberespace transnational.
Tout un chacun sait, du moins se doute, qu’une armée de mercenaires cybercriminels hantent la toile. Il apparaît cependant que les dirigeants de PME prennent les choses à la légère. Bien sûr, des connaissances lacunaires en informatique, un manque de temps, l’allocation d’un budget dédié… sont autant de mauvaises raisons de se mettre la tête dans le sable. Il faut ici se faire peur, à bon escient : un vol de données, un blocage d’accès, une usurpation de codes, de mots de passe, d’identité, un piégeage de logiciels… peuvent coûter cher, voire très cher si d’aventure l’entreprise attaquée sert aussi de relais vers une autre cible, parmi ses clients ou fournisseurs par exemple : dédommagements à des tiers, frais d’enquête, manque à gagner par vols de savoir-faire, voire faillite…
De bonne foi, certains dirigeants estiment-ils peut-être qu’ils n’ont rien qui puisse intéresser les pirates, et donc rien de « menaçable ». Outre qu’ils négligent le fait qu’ils peuvent subir les conséquences d’une attaque qui ne les visait pas directement – à l’instar de l’invasion du ver Blaster – ils s’exposent à des pertes de données, à leur indisponibilité temporaire ou définitive ou encore à la corruption d’intégrité de leurs fichiers.
Le web, Far-West sans sheriff
La question n’est pas de savoir si vous serez attaqué mais quand (peut-être même l’avez-vous déjà été, sans le savoir et sans même gonfler les statistiques qui comptabilisent déjà 53 % de PME victimes d’attaques, car un vol d’informations est très aisé à dissimuler). L’espionnage industriel ou de services lui-même n’est pas réservé aux grands groupes. Dès qu’il y a concurrence, l’espionnage est une potentialité, favorisée du fait des connexions grandissantes entre sphère professionnelle et privée, par le recours à de la sous-traitance non liée par clause de confidentialité, par le turn-over des cadres et travailleurs… Un stagiaire qui travaille sur un projet-client, un cadre qui fait son back-up sur un disque externe, un travailleur qui installe sur son PC un dossier cloud qui pousse à la mise en ligne… sont autant de portes d’entrée et de sortie de vos données, et d’indices quant à leur sécurisation.
Avec le numérique, toute entreprise sort de ses murs… Si le système pyramidal et clos d’autrefois a vécu, au profit de la transversalité et de l’ouverture, il convient en retour que chaque entreprise protège solidement ses informations critiques. La question qui se posera alors au dirigeant de PME néophyte en cybersécurité, et tout à coup conscient des dangers multiples qui le menacent, sera sans doute de savoir par quoi commencer… Georges Ataya, vice-président de la coalition belge de la cyber sécurité, nous donne son avis.
Bruxelles Métropole : Comment les PME peuvent-elles aborder le sujet de la cybersécurité, connaissant le manque de temps des dirigeants, leur non-spécialisation en informatique ?
Georges Ataya : La question de la sécurité est en effet délicate pour les PME : elles courent les mêmes risques que les plus grosses entreprises car les pirates attaquent tout ce qui bouge ! Mais elles n’ont, le plus souvent, pas de responsable sécurité, voire pas de responsable informatique ou même de consultant qui les assiste. Elles doivent d’abord s’informer pour cerner l’ampleur du problème, ce qui devrait les décider à agir, mais aussi pour constater que l’on n’est pas nu contre cela. Le site safe on web que nous avons créé remplit cette tâche : c’est une source précieuse d’informations et de conseils proposée par la coalition belge de la cyber-sécurité en collaboration avec le bureau du premier ministre, la FEB et quelques grandes entreprises.
Il faut bien entendu adopter les précautions de base applicables à tout usage de l’informatique : protéger ses données globalement par un anti-virus performant, activer un bon firewall et recourir à des back-ups. Il faut ensuite veiller à structurer son approche pour pouvoir agir efficacement et ne pas gaspiller ses ressources et son temps. Je préconise d’articuler cette structuration en divers axes qui permettent de clarifier les besoins et les approches. Au préalable, il faut faire la part des informations que l’on détient et, parmi celles-ci, distinguer celles qui sont essentielles et critiques, c’est à dire celles que je ne peux perdre en aucun cas. Faute de cela, on ne sait ce qu’il faut protéger ni de quelle façon et on risque de bouleverser inutilement son organisation ou de protéger inadéquatement ses données.
Le premier axe que je propose est celui de la confidentialité : il faut sélectionner, parmi mes informations critiques, celles qui ne peuvent être divulguées. Des contrats, des recettes de fabrication, des accords divers… De telles informations devront idéalement être cryptées (à condition de ne pas oublier la clef de cryptage !). Le deuxième est celui de la continuité : je possède des données que je dois pouvoir consulter, qui doivent être disponibles dans le temps et être toujours sous la main. Dans ce cas, le cryptage n’est d’aucune utilité. Au contraire, il augmente les risques de non-continuité. Je dois m’assurer que l’information dont j’ai et aurai besoin est toujours là, bien que j’aie changé dix fois d’ordinateur entretemps. Le troisième axe est celui de l’intégrité des données : des informations importantes comme des calculs essentiels, des carnets d’adresses, des relevés de paiement, etc. Dans ce cas, un fichier corrompu peut-être une catastrophe.
Comment aborder le GDPR en termes de sécurité, car il fait peser une lourde responsabilité sur les entreprises ?
G.A. : Dans le cas du GDPR, il faut en quelque sorte protéger les autres et leurs données contre nous. Il y a un ensemble de principes, comme minimiser la sauvegarde des données, mais c’est assez complexe et parfois vague. Par exemple, si je suis une société de parking et que je garde les numéros de plaque de mes clients, il faut que je puisse prouver l’utilité que j’ai de les garder ; de plus, il faut selon le GDPR que ces données soient mises à jour : tel client change de plaque, je dois ou devrais le savoir ! Il y a donc une responsabilité double dans ce cas de figure : il faut donc bien s’interroger sur la pertinence de conserver de telles données. À la clef d’infractions, des audits, la justice, des amendes : prudence donc. Beci organise des formations à ce sujet, que je ne puis que conseiller de suivre.
Conseilleriez-vous aux PME de s’attacher les services d’un consultant agréé ?
G.A. : Certainement aux entreprises qui n’ont pas de responsable informatique ou ont recours à un conseiller externe, une dizaine de jours par an. S’il n’y a pas de responsable, cela va de soi ; mais un consultant va également prémunir des abus possibles d’un conseiller externe, qui peut avoir intérêt à vendre (trop) de services inutiles ou qui ne me permet pas d’évoluer correctement dans ma gestion du risque. Il n’y a pas d’agrégation dans ce domaine mais il y a des standards de gestion de l’informatique utilisés dans le monde entier à partir desquels un standard PME peut être créé. C’est la méthode que je suis. Il y a 37 métiers de l’informatique : la gestion de projet, l’acquisition de système, l’analyse, le développement… C’est donc très vaste : la question préliminaire est de pouvoir déterminer de quel(s) métier(s) a besoin telle entreprise lambda, question à laquelle seul un consultant indépendant pourra répondre impartialement. Il va évaluer le nombre de processus que doit rencontrer cette entreprise et le nombre de jours qu’il faudra y dédier. Ainsi, tout est stratégiquement planifié et budgété, avec un coût nettement moindre que ce celui d’un responsable dédié.
La sécurité devrait se voir comme un investissement, en tant que partie du déploiement informatique d’une entreprise ; or elle est vue comme un coût.
G.A. : En effet. Depuis presque 30 ans, la manne informatique a bénéficié aux entreprises, permettant une augmentation de productivité sans précédent. Mais un jour il faut bien payer la note du contrôle, de la gouvernance et de la gestion optimisés que permet une informatique sécurisée. Il n’y a pas une instance transcendante qui fera cela pour nous. Un responsable de PME ne peut plus considérer qu’il ne peut pas investir et s’investir dans son informatique ; il doit avoir une stratégie digitale minimum. C’est une question de survie, tout simplement.
Georges Ataya, Professor, Academic Director (Solvay.edu/it) and Managing Partner (ICTC.EU)