Cybersécurité

3 étapes vers la cybersécurité dans un monde numérique

« La sécurité est à présent l’affaire de chacun. »

Ces sages paroles sont celles du Dr. Werner Vogels, le Directeur des Technologies d’Amazon, et elles valent spécialement pour les entreprises qui se lancent dans la transformation digitale ou qui l’accélèrent.

cybersécurité-monde-numérique

Pourquoi cet avis nous concerne-t-il tous ? Un rapport récemment publié par McKinsey[i] livre des chiffres impressionnants : Chaque année plus de 100 milliards de lignes de code sont créées et le piratage informatique produit environ 120 millions de nouvelles variantes de malware. Une stratégie forte de cybersécurité s’impose. Les travaux de Gartner prédisent que « D’ici 2020, 60 % des entreprises numériques auront connu une panne de service majeure. »[ii]

La cybersécurité est l’affaire des entreprises

Faut-il alors s’étonner que les questions de cybersécurité nous empêchent de fermer l’œil ? La question essentielle n’est pas de développer de nouvelles capacités de cybersécurité dans le cadre de la stratégie d’entreprise. C’est plutôt de les intégrer en douceur.

Qu’est-ce que j’entends par là ? Il faut ici vraiment changer notre façon de penser : d’abord parce qu’on croit toujours que l’ajout d’une couche de cybersécurité va compliquer l’utilisation des logiciels et des produits, et ensuite parce qu’on croit que la cybersécurité est une affaire strictement informatique.

Dans ce contexte, voici trois approches centrales pour un bon dispositif de cybersécurité :

  1. L’expérience de l’utilisateur numérique
    La cybersécurité ne peut être une pensée après-coup, elle doit s’inscrire dès le départ dans l’expérience de l’utilisateur. Si l’on dégrade l’expérience de l’utilisateur ou si l’on y ajoute de la friction, on peut l’inciter à rechercher des « contournements » qui risquent en fin de compte d’affaiblir le dispositif d’ensemble, sans le vouloir.
  2. C’est l’affaire de tous
    Il faut trouver une façon de faire que la cybersécurité soit dans toutes les têtes d’une entreprise numérique; même si ce n’est pas de façon explicite. Près de deux tiers des malwares associés l’an dernier à des violations de données ou à d’autres incidents sont venus de pièces jointes malveillantes aux e-mails.[iii] Un malheureux clic suffit à ouvrir les grilles des bas-fonds malfaisants du cyberespace. Il faut donc que la cybersécurité imprègne chacun de nos actes au quotidien. S’agissant d’une société internationale présente dans plus de 100 pays, Schneider descend au niveau individuel en offrant une formation et une habilitation permanentes à la cybersécurité.
  3. Une approche superposée
    Quelle que soit l’entreprise, une défense de périmètre ne suffit plus dans le monde numérique actuel. Tout le monde est constamment connecté – aussi bien de chez soi que par le téléphone et sur tout le réseau distribué de l’entreprise. L’approche superposée est essentielle car dans notre monde hyperconnecté, les douves – si large soient-elles –  ne suffisent plus. Dans cette perspective, le cadre NIST[iv], est une référence particulièrement utile car il définit plusieurs niveaux de protection (la version 1.1 du cadre NIST a été lancée le 16 avril 2018), de l’identification de risque au rétablissement après incident (résilience).

La puissance et les avantages de la convergence IT / OT

La stratégie de Schneider Electric en matière de cybersécurité ne signifie pas seulement d’élever des murs autour du périmètre ; elle comporte plusieurs niveaux et une stratégie « détection-réaction » bien définie, en façade comme au centre.

puissance-avantages-convergence

Une entreprise n’est pas un château ; des pirates sont récemment parvenus à s’infiltrer dans la base de données d’un casino par l’intermédiaire d’un thermomètre intelligent apparemment inoffensif placé dans l’aquarium de l’accueil. Compte tenu de son empreinte et de sa présence dans le monde, Schneider est exposé au risque de cyberattaques et de violation de la confidentialité des données, comme n’importe quelle organisation. En outre, avec la convergence rapide des IT / OT, alimentée par l’Internet des objets; nous reprenons à notre compte la position du Dr. Vogels pour qui « dans une entreprise numérique, tout le monde doit être un ingénieur en sécurité ».

De l’approche « cybersécurité par la conception » sur toute notre configuration EcoStruxure™  adaptée à l’IoT à notre souci de veiller à ce que les intervenants IT / OT aient leur mot à dire en matière de stratégie virtuelle, nous menons la transformation numérique avec un positionnement ferme en matière de cybersécurité. Nous préparons le terrain de l’épanouissement de nos clients et partenaires dans l’économie numérique. Soyez-en assurés.

[i]Thomas Poppensieker and Rolf Riemenschnitter, McKinsey & Company, “A new posture for cybersecurity in a networked world,” March 2018. Available at https://www.mckinsey.com/business-functions/risk/our-insights/a-new-posture-for-cybersecurity-in-a-networked-world
[ii] Gartner Special Report. Cybersecurity at the Speed of Digital Business, Refreshed: 7 December 2017 | Published: 30 August 2016 ID: G00315580. The statistic cited at https://www.gartner.com/newsroom/id/3337617.
[iii] Verizon’s 2017 Data Breach Investigations Report. http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/
[iv] https://www.nist.gov/cyberframework

Auteur : Hervé Coureil
Article original : Lire en Anglais


No Responses

Leave a Reply

  • (will not be published)