« À l’origine de 60 % des cyberattaques, on trouve un concurrent national »
Entretien avec Alain Juillet, Club des directeurs de sécurité des entreprises
Décideurs. La guerre contre la cybercriminalité est-elle perdue d’avance pour les entreprises ?
Alain Juillet. Aucune guerre n’est perdue d’avance, à condition de réagir aux coups qui sont pris. Si l’on compare la situation avec celle de 2008, les perspectives se sont nettement améliorées. À l’époque, les DSI et les directions étaient dans une sorte de déni et pensaient que la maîtrise de leur outil informatique les protégeait contre tout type de menace. Puis il y eut un déclic avec la révélation au monde de l’existence de logiciels comme Stuxnet ou Flame. Leur puissance et leur précision chirurgicale leur permettant de s’attaquer à des États, la porte des entreprises est apparue grande ouverte.
Décideurs. Qui se cache derrière le vol de données ?
A. J. Les attaques informatiques étant techniques et dématérialisées, il est souvent difficile d’identifier les auteurs. Et plus encore de les poursuivre. Une étude conduite par la DCRI révèle qu’à l’origine de 60% des attaques informatique on trouve une concurrente nationale. L’ennemi n’est pas toujours où l’on croit. Il est parmi nous et la naïveté n’est plus de mise.
Décideurs. La DSI est-elle la direction appropriée pour lutter contre la piraterie ? Qu’en déduire en termes de gouvernance ?
A. J. La DSI est certes experte des réseaux informatiques, mais il faut bien comprendre qu’elle est juge et partie. Elle doit à la fois se défendre et identifier les attaques. Cette problématique doit être appréhendée le plus en amont possible, et en associant le maximum d’entités de l’entreprises. Je pense notamment aux compétences des directeurs de la sécurité, ou des juristes de droit social. La sécurité des données stratégiques doit devenir l’affaire de tous !
Les commerciaux, le marketing, la production, les gestionnaires puis les financiers ont fait leur montée successive aux comités de direction des grandes entreprises. Aujourd’hui et pour les années à venir, des efforts doivent être faits pour intégrer la sécurité et les services informatique au cœur des décisions.
Décideurs. Par où les entreprises qui ont du retard devraient-elles commencer ?
A. J. La première réponse est de diffuser un état d’esprit défensif à tous les collaborateurs. Pour cela, il est impératif d’avoir procédé à un audit très complet des risques en se posant une question simple d’apparence : quelle information est vitale à mon entreprise ? Une fois la liste déterminée, il convient d’adapter son comportement et ses systèmes informatiques en fonction du risque que présente chaque élément.
Il faut bien comprendre qu’on ne construira pas une forteresse imprenable ; tôt ou tard celui qui a un motif, le temps et les moyens finira par obtenir ce qu’il souhaite. L’enjeu est de ralentir sa progression et dissuader le gros du lot, en compartimentant l’information ou en installant des systèmes d’alerte par exemple.
Décideurs. Comment percevez-vous les initiatives de sensibilisation par les pouvoirs publics ?
A. J. En France l’Agence nationale de la sécurité des systèmes d'information (Anssi) a été créée pour surveiller les communications entre États, puis s’est tournée vers les entreprises à leur demande. C’est une très bonne chose bien sûr, car l’État dispose d’une grande expertise en la matière. Le problème aujourd’hui est de savoir si cette agence et ses homologues dans le monde vont pouvoir faire face à la démultiplication des cyber-menaces alors que les budgets des États sont soumis à une pression à la baisse.
Sur le plan européen également, une plus grande coopération est essentielle. Nous manquons de réponses légales. Les criminels ont de nombreux relais, il est très compliqué de les poursuivre, et les entreprises sont désarmées. À terme, nous devrons agir de la même façon que contre le terrorisme : avoir des réglementations adaptées et une coopération plus forte entre les entreprises et entre les États.
Décideurs. Quelles évolutions anticipez-vous en matière de stratégie et sécurité ?
A. J. Le futur appartient aux managers qui savent accepter le risque et s’adapter méthodiquement. Nous ne sommes qu’au début d’une grande révolution. En matière de données, j’insisterai sur la valeur croissante de l’Intelligence, au sens de discernement. Il fut une époque où l’enjeu était d’avoir l’information. Désormais, nous sommes noyés sous les données. Ceux qui sauront sélectionner et utiliser les informations de valeur seront les mieux placés dans ce jeu mondialisé.
Alain Juillet. Aucune guerre n’est perdue d’avance, à condition de réagir aux coups qui sont pris. Si l’on compare la situation avec celle de 2008, les perspectives se sont nettement améliorées. À l’époque, les DSI et les directions étaient dans une sorte de déni et pensaient que la maîtrise de leur outil informatique les protégeait contre tout type de menace. Puis il y eut un déclic avec la révélation au monde de l’existence de logiciels comme Stuxnet ou Flame. Leur puissance et leur précision chirurgicale leur permettant de s’attaquer à des États, la porte des entreprises est apparue grande ouverte.
Décideurs. Qui se cache derrière le vol de données ?
A. J. Les attaques informatiques étant techniques et dématérialisées, il est souvent difficile d’identifier les auteurs. Et plus encore de les poursuivre. Une étude conduite par la DCRI révèle qu’à l’origine de 60% des attaques informatique on trouve une concurrente nationale. L’ennemi n’est pas toujours où l’on croit. Il est parmi nous et la naïveté n’est plus de mise.
Décideurs. La DSI est-elle la direction appropriée pour lutter contre la piraterie ? Qu’en déduire en termes de gouvernance ?
A. J. La DSI est certes experte des réseaux informatiques, mais il faut bien comprendre qu’elle est juge et partie. Elle doit à la fois se défendre et identifier les attaques. Cette problématique doit être appréhendée le plus en amont possible, et en associant le maximum d’entités de l’entreprises. Je pense notamment aux compétences des directeurs de la sécurité, ou des juristes de droit social. La sécurité des données stratégiques doit devenir l’affaire de tous !
Les commerciaux, le marketing, la production, les gestionnaires puis les financiers ont fait leur montée successive aux comités de direction des grandes entreprises. Aujourd’hui et pour les années à venir, des efforts doivent être faits pour intégrer la sécurité et les services informatique au cœur des décisions.
Décideurs. Par où les entreprises qui ont du retard devraient-elles commencer ?
A. J. La première réponse est de diffuser un état d’esprit défensif à tous les collaborateurs. Pour cela, il est impératif d’avoir procédé à un audit très complet des risques en se posant une question simple d’apparence : quelle information est vitale à mon entreprise ? Une fois la liste déterminée, il convient d’adapter son comportement et ses systèmes informatiques en fonction du risque que présente chaque élément.
Il faut bien comprendre qu’on ne construira pas une forteresse imprenable ; tôt ou tard celui qui a un motif, le temps et les moyens finira par obtenir ce qu’il souhaite. L’enjeu est de ralentir sa progression et dissuader le gros du lot, en compartimentant l’information ou en installant des systèmes d’alerte par exemple.
Décideurs. Comment percevez-vous les initiatives de sensibilisation par les pouvoirs publics ?
A. J. En France l’Agence nationale de la sécurité des systèmes d'information (Anssi) a été créée pour surveiller les communications entre États, puis s’est tournée vers les entreprises à leur demande. C’est une très bonne chose bien sûr, car l’État dispose d’une grande expertise en la matière. Le problème aujourd’hui est de savoir si cette agence et ses homologues dans le monde vont pouvoir faire face à la démultiplication des cyber-menaces alors que les budgets des États sont soumis à une pression à la baisse.
Sur le plan européen également, une plus grande coopération est essentielle. Nous manquons de réponses légales. Les criminels ont de nombreux relais, il est très compliqué de les poursuivre, et les entreprises sont désarmées. À terme, nous devrons agir de la même façon que contre le terrorisme : avoir des réglementations adaptées et une coopération plus forte entre les entreprises et entre les États.
Décideurs. Quelles évolutions anticipez-vous en matière de stratégie et sécurité ?
A. J. Le futur appartient aux managers qui savent accepter le risque et s’adapter méthodiquement. Nous ne sommes qu’au début d’une grande révolution. En matière de données, j’insisterai sur la valeur croissante de l’Intelligence, au sens de discernement. Il fut une époque où l’enjeu était d’avoir l’information. Désormais, nous sommes noyés sous les données. Ceux qui sauront sélectionner et utiliser les informations de valeur seront les mieux placés dans ce jeu mondialisé.
