Cybersécurité : quelles sont les bonnes pratiques pour vous préparer à 2023 ?

Raphaëlle Duchemin : C'est une guerre et celle-ci ne se fait pas devant les caméras de télévision. Pas d'armée, de fusil, mais des attaques redoutables qui mettent KO les adversaires. Nous vivons à l'heure du cyber risque, sauf que l'ennemi est invisible, voire inconnu, et qu'il frappe à distance, bien caché derrière son écran. Avec nos smartphones dans la poche et nos ordinateurs à la maison et au bureau, nous sommes devenus des cibles faciles pour les hackers et les entreprises aussi.

Contraintes depuis 2022 de mettre un nouvel ordre en place à l'intérieur de leur groupe, elles ont dû faire de plus en plus appel au digital, cela les rend plus agiles, c'est vrai, mais aussi beaucoup plus exposées. La preuve, les sites qui assurent une veille pour quantifier le nombre d'attaques ont recensé une augmentation de l'ordre de 36% sur le dernier trimestre 2022. Alors, comment les entreprises se préparent-elles à 2023 ? Je suis Raphaëlle Duchemin et je vous propose de regarder de plus prêt ce qu'elles ont mis en place.

L'éducation, l'énergie, les transports, les hôpitaux mais aussi les départements, les villes, rien n'échappe désormais au coût que portent les hackers. Au fur et à mesure que la parade se met en place, ils entrent par une nouvelle porte parce qu'ils ont un coup d'avance et parce qu'aussi la zone à défendre est de plus en plus importante. Mais sur plus de 3500 dirigeants interrogés par PwC, force est de constater que la prise de conscience est bel et bien là, et les mesures sont en train de se mettre en place. Bonjour Jamal Basrire.

Jamal Basrire : Bonjour

Raphaëlle Duchemin : Vous êtes associé PwC, responsable des activités de cyber intelligence. Je parlais à l'instant de prise de conscience, on pourrait même dire changement quelque part de logiciel, hein des dirigeants, comme si le reset avait commencé à s'opérer. Ce changement se voit puisque, selon l'étude que vous avez mené, 7 dirigeants sur 10 ont noté des progrès significatifs dans leur entreprise en matière de cyberdéfense.

Jamal Basrire : C'est tout à fait ça. Je pense qu'on peut dire que le sujet de la cybersécurité est désormais plus qu'à l'agenda des dirigeants. Je pense que c'est un sujet qui parfois les empêche même de dormir. Les attaques sont de plus en plus visibles puisqu’on intervient très régulièrement au-delà, d'accompagner nos clients sur des sujets d'accompagnement à la mise en œuvre de leur projet cybersécurité, mais également dans la gestion de leur crise. Donc c'est clairement un sujet qu'ils ont en tête pour pas dire pour pas dire autre chose.

Raphaëlle Duchemin : Autre donnée qui montre peut-être l'évolution de la mentalité, c'est que 1/4 des dirigeants que vous avez interrogés affirment que la plupart des points critiques identifiés, en tout cas pour 2021-2022, ont été manifestement pris en compte et que les équipes qui sont dévolues à la sécurité ont, sur l'année écoulée, fait le nécessaire ou en tout cas essayez de le faire pour sécuriser les choses.

Jamal Basrire : Tout à fait. Je pense que c'est un constat sur lequel on peut être aligné. En tout cas, nos retours d'expérience le montrent. Il y a un certain nombre de projets qui ont été mis en œuvre, donc en ce sens, on peut effectivement dire que les sujets ont été identifiés et qu'ils ont fait l'objet de projets. Néanmoins, je pense que le diable se cache toujours dans les détails et vous l'avez précisé il y a quelques secondes, l’attaquant cherche toujours la petite porte ouverte. Et donc en la matière, on peut considérer aujourd'hui qu'il y a encore beaucoup de portes ouvertes dans lesquelles les attaquants s'engouffrent. Et donc qui font qu’aujourd'hui, les clients sont toujours exposés, il y a eu pas mal de progrès. Néanmoins, le risque cyber est toujours présent et l'impact qu'il peut engendrer est toujours important pour les entreprises.

Raphaëlle Duchemin : On va regarder ensemble, où sont ces portes ouvertes ? Parce que parfois, les dirigeants ne les voient pas. On va essayer aussi de leur donner quelques clés pour apprendre à les refermer. Je parlais Jamal tout à l'heure de changement de mentalité, parce que le CISO, le Chief Information Security Officer, c'est-à-dire celui qui a en charge toute cette sécurité, hier encore n'était pas vraiment vu en interne, en tout cas comme un poste clé. Aujourd'hui, finalement, il est un pivot de l'organisation de l'entreprise et les dirigeants, quels qu'ils soient, ont compris combien ce maillon était essentiel pour lutter efficacement, pour sécuriser les programmes, pour essayer de mettre en place une organisation de lutte efficace.

Jamal Basrire : C'est clairement le rempart par rapport à ce risque cyber. Je pense qu'effectivement il y a quelques années, il était plutôt perçu comme un acteur technique au sein d'une direction informatique quelque part en charge de régler les problèmes techniques. Aujourd'hui, on attend de lui beaucoup plus qu'auparavant et donc ce qui nécessite d'avoir des CISO beaucoup plus armés sur tout un tas de dimensions que sont la technique, mais pas que. Également la capacité de sensibilisation, la capacité de management puisqu'il s'agit de changer les modes de fonctionnement dans l'entreprise. Une capacité de vulgarisation parce qu'il s'agit aussi de sensibiliser et de communiquer quelque part ce risque est extrêmement complexe aux dirigeants et donc je pense qu’en un mot, ce qu'il est désormais attendu des CISO, c'est un rôle de leadership beaucoup plus fort qu'il n'était auparavant qu'il n'est pas simple à appréhender.

Raphaëlle Duchemin : Alors justement infiltrons-nous, nous aussi en quelque sorte dans le cœur de la machine, et mettons les entreprises en face des risques auxquels elles sont exposées. La preuve par l'exemple, finalement, c'est peut-être la meilleure des démonstrations. Jamal, c'est ce que vous avez fait justement prendre des exemples dans cette étude, des scénarii au nombre de trois pour montrer les dommages collatéraux en cas d'attaque ou en cas de piratage. Le premier scénario, je voudrais qu'on s'y arrête ensemble. Il s'appuie sur une attaque via le cloud. C'est ce que redoutent, et ce à quoi s'attendent, d’ailleurs,  près de 4 patrons sur 10 pour l'année à venir. Ils sont environ 38% à se dire qu'on peut être exposé à travers le cloud.

Jamal Basrire : Tout à fait, je pense que c'est un très bon exemple de ce que la digitalisation peut amener en terme d’augmentation de l'exposition aux risques cyber. Effectivement, la transition vers le cloud est en train de s'opérer, en train de s'accélérer même. Pour autant, elle induit aussi de nouveaux risques cybers ou en tout cas de nouvelles menaces. Pour l'illustrer : aujourd'hui ces environnements cloud peuvent être interconnectés avec le système d'information d'entreprise et il faut le voir en fait comme une nouvelle porte, quelque part qu'on rajoute à l'arsenal des attaquants pour pouvoir s'introduire au sein des entreprises. Et donc effectivement un cloud non sécurisé aujourd'hui peut permettre à un attaquant externe de le compromettre et donc in fine de compromettre le système d'information de l'entreprise.

Raphaëlle Duchemin : Il y a encore des clouds qui ne sont pas sécurisés ?

Jamal Basrire :  Il y a des clouds qui ne sont pas sécurisés, je pense que pour prendre un petit peu de recul par rapport à cette question. Aujourd'hui le fait de s'appuyer sur des acteurs du cloud fait qu'on s'appuie sur toute leur force de frappe pour gérer la sécurité de ce cloud. La gestion des patchs notamment qui permettent de couvrir certaines vulnérabilités dont les attaquants raffolent. Néanmoins, il reste un certain nombre d'actions qui sont à la main de l'entreprise, telles que le paramétrage de ce cloud et qu'ils peuvent exposer aux risques cyber.

Raphaëlle Duchemin : Ce qui est intéressant aussi dans ce scénario, c'est que vous montrez par ou le pirate entre, quelle est finalement la faille et quels sont les dégâts et puis aussi comment on peut renforcer en quelque sorte les lignes de défense.

Jamal Basrire : Effectivement le cloud est une opportunité d'améliorer la sécurité de l'entreprise. Pour autant, il faut anticiper les choses et effectivement, pour ce qui est à la main de l'entreprise, mettre en œuvre les dispositifs qui permettent de se protéger. Et ensuite, effectivement mettre en place le dispositif qui va permettre de s'assurer que ce cloud reste sécurisé. C'est là qu'interviennent les lignes de défense, la sécurisation du cloud et du ressort de la première ligne de défense.

Raphaëlle Duchemin : Donc le CISO.

Jamal Basrire : Donc le CISO. Et la vérification ou le suivi quelque part de la sécurité de ce cloud relève d'une deuxième ligne de défense.

Raphaëlle Duchemin : Justement, ça permet de voir, effectivement, que ça n'est pas que l'affaire du CISO et du dirigeant, mais de tous les maillons de l'équipe qui composent la direction d'une entreprise.

Jamal Basrire : Tout à fait, je pense que c'est un travail d'équipe, très clairement. Ces différentes lignes de défense permettent quelque part de s'assurer qu'on ne passe pas à côté de choses évidentes. Je pense qu’il est essentiel d'être dans une démarche collaborative, constructive. Effectivement, on a pu observer un certain nombre de deuxième lignes de défense qui était plus dans le contrôle punitif plus que dans la collaboration et là de notre point de vue, il est important d'être dans une démarche collaborative. Et  donc quelque part de compléter une première ligne de défense qui dispose d'un certain niveau de moyen pour sécuriser on va dire les environnements, de telle sorte à les compléter avec une dimension de contrôle qui permet aussi de challenger de manière constructive les premières lignes de défense.

Raphaëlle Duchemin :  Deuxième scénario redouté par près de 3 dirigeants sur 10, c'est l'attaque sur la chaîne opérationnelle qui met à l'arrêt évidemment toute la production. Même démonstration en quelque sorte, d’où ça vient, où est la faille et comment on aurait éventuellement pu l'éviter ?

Jamal Basrire : Tout à fait, c'est toujours le même schéma, malheureusement. On est sur une chaîne qui est extrêmement complexe, qui à un moment donné comporte une vulnérabilité qui est exposée à un attaquant. Donc cette chaîne de production peut être interconnectée à un système d'information d'entreprise qui lui-même peut être exposé à Internet. C'est l'histoire d'une réaction en chaîne en fait. Un château de cartes qui peut s'écrouler à partir du moment où on trouve la bonne porte d'entrée, si on revient à cette image.

Raphaëlle Duchemin : Ça veut dire qu'il y a des portes différentes à chaque fois ou la porte d'entrée est plus ou moins toujours la même pour le hacker ?

Jamal Basrire : Il y a des portes différentes à chaque fois, certaines ont été découvertes et sont publiques, donc on connaît les vulnérabilités qu'il est possible, on va dire d'exploiter. Certaines ne sont pas connues mais existent ce qu'on appelle les zéro day, c’est-à-dire les vulnérabilités que l'on découvre. Et donc c'est ces vulnérabilités connues, ces portes d'entrée connues aujourd'hui sont utilisées par les attaquants, effectivement, pour s'introduire dans l'entreprise. Et donc elles sont connues, les groupes d'attaquants sont divers, ils ont leurs modes opératoires, ils continuent à se structurer et à s'organiser, donc telle une entreprise avec des processus, des procédures pour arriver en fait à leurs méfaits.

Raphaëlle Duchemin : On a bien compris dans ces deux premiers scénarii qu'il y a effectivement un engagement nécessaire de toute la chaine de direction, la chaîne de commandement d'une entreprise. Ça peut aller plus loin et c'est le cas avec le troisième scénario, le mail frauduleux, l'hameçonnage. Là le risque est encore plus élevé parce qu’on a encore plus de participants si j’ose dire autour de la table.

Jamal Basrire : Tout à fait, l'ensemble des participants, effectivement, on a beaucoup plus les acteurs de l'entreprise, ses clients, ses partenaires, ses fournisseurs et donc effectivement, tout ça c'est autant de points d'entrée qu'un moment donné, un attaquant peut exploiter pour s'introduire à un endroit de la chaîne et ensuite remonter de proche en proche jusqu'à atteindre son objectif final.

Raphaëlle Duchemin : L'intérêt de ce cas pratique, Jamal, c'est aussi de montrer que finalement les boucliers de sécurité qu'on va déployer, il faut aussi les partager, évangéliser dans les équipes pour que chacun puisse en quelque sorte jouer son rôle de pare-feu.

Jamal Basrire : Tout à fait, c'est exactement ça. Dans les équipes informatiques mais pas que, il faut que l'ensemble des parties prenantes soient sensibilisées, on va dire,  à l'ensemble des points d'entrée que peut exploiter en fait un attaquant. Et j'irai même jusqu'au client. Quand on parle de banque à distance ou de e-banking, les clients sont sensibilisés, ils reçoivent régulièrement des messages pour leur indiquer les bonnes pratiques à mettre en œuvre. Donc en fait la sensibilisation ça reste pas aux simples équipes informatiques, elle va au-delà vers toutes les parties prenantes, quelque part de l'entreprise.

Raphaëlle Duchemin : Cette prise de conscience collective, elle s'avère d'autant plus importante que les risques sont aujourd'hui protéiformes. Plus l'organisation de défense se muscle, plus les attaquants empruntent de nouvelles voies. Car avec l'avènement du digital, et bien le cyber risque est tout simplement décuplé.

Jamal, on a un peu l'impression d'une course dans laquelle finalement, les entreprises sont parties avec un temps de retard, les hackers ont toujours établi une longueur d'avance.

Jamal Basrire : C'est un fait et effectivement, ils ont toujours une longueur d'avance. L'échelle de temps de l'attaquant n'est pas celle de l'entreprise qui s'inscrit dans des projets, qui s'inscrit dans des budgets, et donc du coup des moyens. Et ce qui fait aussi qu'il peut y avoir un décalage quelque part entre la vitesse de l'attaquant et celle de l'entreprise. Ils ont tellement le temps que parfois ils s’introduisent dans les entreprises et peuvent rester plusieurs mois, voire plusieurs années dans l'entreprise en attendant quelque part le bon moment.

Raphaëlle Duchemin : En sommeil

Jamal Basrire : En sommeil, tout à fait. En somme dans l'objectif, quelque part de tirer le maximum de profits de leurs méfaits. Donc ça peut être, accéder à l'information stratégique, mais ça peut être aussi de manière un peu plus opportuniste, de déclencher quelque part une attaque pour prendre en otage le système d'information de nos clients, de telle sorte à en retirer un bénéfice financier.

Raphaëlle Duchemin : Ce qui est assez intéressant aussi, c'est qu’on s'aperçoit que plus on rend l'entreprise agile et c'est le cas avec le digital, plus elle se dote de moyens technologiques, plus elle s'expose. Est-ce que c'est un peu le revers de la médaille de cette agilité ?

Jamal Basrire : C'est le revers de la médaille de cette agilité. Moi, je suis plutôt quelqu'un d'optimiste. Je pense que cette agilité, à partir du moment où elle intègre dans sa conception la cybersécurité, je pense que ça peut même être une opportunité en fait. Après, dans les faits, il se trouve qu'aujourd'hui encore beaucoup de programmes de transformation n’intègrent pas la dimension cybersécurité, ce qui est un enjeu à mon sens primordial pour les prochaines années.

Raphaëlle Duchemin : C'est la raison pour laquelle, je vous posais la question parce qu'effectivement la parade, la bonne parade, c'est d'anticiper. Or, quand on regarde les résultats de l'étude que vous avez menée, moins de 40% des dirigeants qui ont répondu, reconnaissent qu'ils n'ont que partiellement atténué leur exposition aux risques. Pourquoi et sur quels points diriez-vous que ça pêche le plus entre guillemets ?

Jamal Basrire : Je pense que le constat de progression, il se fait sur la prise de conscience et sur le lancement et la mise en œuvre d'un certain nombre de projets structurants qui constituent, quelque part les fondements de ce qu'une entreprise doit mettre en place pour assurer sa cybersécurité. Pour autant, je pense qu'il y a une conscience, également, que le champ à couvrir est extrêmement large. On peut prendre quelques exemples concrets pour l'illustrer. On parlait de vulnérabilité il y a quelques minutes, ces vulnérabilités sont dans des nombres parfois pharaoniques et donc le traitement de ces vulnérabilités peut prendre à lui seul plusieurs années. Donc je pense que c'est face à ce constat là, qu'aujourd'hui les entreprises considèrent qu'elles sont encore exposées, malgré l'organisation qu'elles ont pu mettre en place.

Raphaëlle Duchemin : Oui, on voit aussi que les points de progression, y compris dans l'entreprise, ils sont clairement identifiés, quand on leur pose la question, on sait exactement où sont les marges de manœuvre, où sont les failles et où il faut agir en tout cas en priorité.

Jamal Basrire : Je pense qu'ils sont identifiés pour un certain nombre d'entreprises, alors je fais une distinction puisque le marché est extrêmement hétérogène sur le plan de la maturité. Nos clients Grand compte typiquement sont plutôt dans des démarches initiées, plutôt matures, effectivement, elles sont en capacité d'identifier et de plus en plus grâce à des programmes de contrôle leur faiblesse. Si on parle de l'écosystème des ETI, là je dirais qu'on est plus dans la prise de conscience et encore des ETI qui ne sont pas forcément encore armées pour traiter ces problématiques.

Raphaëlle Duchemin : La cyberattaque, est-ce que c'est aujourd'hui ce qui fait la plus peur aux entreprises ? Manifestement oui, parce que quand on leur dit, voilà le panel de risques auquel votre entreprise est exposée. Ils sont 65% à dire qu'ils redoutent une cyberattaque. C'est énorme.

Jamal Basrire : Oui tout à fait, je pense que ça s'explique par le fait qu’aujourd’hui, ce sujet, est un sujet qui peut mettre en défaut l'activité de l'entreprise, voire même l'éteindre. Je pense qu'aujourd'hui, le sujet de la cybersécurité jusqu'à présent a été considéré encore de manière assez fragmenté et je pense qu’on est à une phase où on change un petit peu de paradigme et ou les responsables dirigeants d'entreprises ont en tête le paradigme de résilience opérationnelle qui intègre la dimension cyber mais qui intègre également tout un tas d'autres dimensions. Telle que la gestion des risques liés au tiers, telle que la gestion des risques informatiques et donc lorsqu'on considère ce paradigme et sa complexité. C'est vrai qu'aujourd'hui peu d'entreprises s'estiment suffisamment armées pour y répondre.

Raphaëlle Duchemin : Ils disent pourtant qu'ils ont conscience, que le mail ou les accès mobiles sont une des portes d'entrée qu'on laisse assez bêtement grande ouverte, donc la conscience est là.

Jamal Basrire : Tout à fait, la conscience est là, les initiatives sont démarrées, il y a encore un chemin significatif à parcourir, ne serait-ce qu’aller jusqu'au bout des initiatives. Je pense que c'est aussi quelque chose d'important lorsqu'on réalise des diagnostics de cybersécurité des entreprises. On constate qu'on est encore dans des dispositifs qui se mettent en place, mais qui ne sont pas encore efficients, pas efficients dans le sens qui ne sont pas aujourd'hui suffisamment couvrants de l'ensemble du périmètre de l'entreprise. Donc en ce sens, il y a du travail encore à faire et au-delà de ça, il y a ces nouveaux risques liés à l'adoption du cloud ou les risques liés à la supply chain qui sont encore des risques qui ne sont pas encore suffisamment traités.

Raphaëlle Duchemin : Face à un ennemi qui gagne du terrain et qui peut attaquer n'importe quand et n'importe où, les entreprises ont donc besoin de se préparer. Avoir les bonnes armes et les bons outils technologiques, mais aussi la bonne stratégie, et celle-là dépend, on l'a dit du collectif.

Jamal c'est assez frappant de voir que toutes les équipes de direction reconnaissent dans votre étude ne pas faire assez cas ou ne pas avoir vraiment compris quels étaient les effets d'une cyberattaque. Comme s'il y avait encore un petit côté fiction.

Jamal Basrire : Alors, ce qu'on peut dire là-dessus, c'est que je pense que cet effet fiction est de moins en moins vrai, parce que beaucoup d'acteurs ont subi des cyberattaques. On peut le lire dans la presse. Pour avoir échangé très récemment avec un client sur ce sujet-là, il est vrai qu’il y a quand même toujours une attente des dirigeants de se projeter quelque part en situation de crise et donc pour ce faire tester sa capacité à gérer une crise et à se mettre en conditions réelles. On a d'ailleurs développé chez PwC un produit digital basé sur des casques de réalité virtuelle, en fait, qui vous projette en situation de crise et donc qui permettent de vivre en fait en immersion à un moment de crise. C’est un exercice d'une quinzaine de minutes, mais qui je pense, permet de vraiment de mettre en perspective le contexte d'une crise.

Raphaëlle Duchemin : Oui, c'est ça la difficulté pour le dirigeant, c'est de se dire, finalement, l'attaque cyber tant que je n'y suis pas confrontée, je ne sais pas à quoi elle ressemble. Je n'arrive pas à la définir, on ne peut pas la toucher du doigt.

Jamal Basrire : C'est vraiment un point important qui ressort également de notre enquête cette année. C'est que les acteurs qui ont le plus progressé sont ceux qui ont subi une crise cyber. Je mets souvent en parallèle ce constat ou cette observation par rapport à il y a quelques années où je pense les acteurs n'osaient même pas dire qu'ils avaient été à un moment donné attaqués. Donc je pense qu’effectivement le besoin quelque part, de se projeter dans cette situation peut permettre de déclencher derrière un certain nombre d'actions pour renforcer en fait sa cybersécurité.

Raphaëlle Duchemin : Ça veut dire qu'il faut peut-être dégager encore plus de temps pour les spécialistes de la cyber en interne pour qu'ils puissent expliquer, transmettre la politique à appliquer ?

Jamal Basrire : Dans la mission du responsable cybersécurité dans l'entreprise, mais dans notre mission aussi en tant que conseil, cet enjeu de sensibilisation est fort. Et effectivement, il faut dégager du temps parce que c'est en passant par la sensibilisation qu'on arrivera à faire évoluer les modes de fonctionnement et les usages aussi de la technologie pour se protéger vis-à-vis de l'attaquant. 

Raphaëlle Duchemin : Vous parliez tout à l'heure des entreprises qui n'ont pas encore été exposées, de celles qui n'ont pas encore pris les devants sur ces questions de cybersécurité notamment certaines ETI. Il faut justement davantage travailler de concert avec toute la sphère de dirigeants pour écrire la stratégie et cette déclinaison pratique, c'est comme si on avait à donner finalement des outils clés en main mais co-construits coécrit pour que ça fonctionne vraiment.

Jamal Basrire : Les vertus d'une stratégie cyber c'est je pense certes de poser une vision. Cette vision effectivement, il faut qu'elle soit alignée, il faut que tout le monde puisse la comprendre pour savoir où on va en la matière. C’est également des missions et donc c'est quelque part communiquer quel est le rôle de la fonction cybersécurité dans l'entreprise. Donc ça permet aussi de comprendre les demandes qui peuvent être faites à un moment par la fonction cyber qui peuvent parfois être contraignantes et donc ça c'est un élément absolument indispensable. Pour revenir sur mon point concernant les ETI, le sujet qui les concerne c'est aussi de trouver le bon modèle opérationnel. La bonne manière de procéder pour opérer quelque part, traiter ce risque cyber dans leur contexte donc un contexte d'entreprises de tailles intermédiaires qui nécessite d'avoir des approches un peu différentes.

Raphaëlle Duchemin : Pour pouvoir justement construire cette stratégie, ces lignes de défense, il y a aussi une vraie question sur les moyens financiers, les budgets. Ils ont conscience les dirigeants que vous avez interrogés qu’il faut davantage investir pour mieux se protéger. Est-ce que ça, c'est quelque chose qui change aussi par rapport aux précédentes études ?

Jamal Basrire : Je pense qu'on est dans une tendance qui se confirme, des budgets cybersécurité qui se maintiennent, voir qui augmentent donc cette tendance quelque part au renforcement des initiatives cyber elles se confirment dans un contexte de crise, c'est-à-dire pendant l'époque COVID. Dans un contexte macroéconomique aussi incertain, ce qui me fait dire que les entreprises vont continuer à investir sur ces sujets. Pour autant, je pense qu'il y a également une recherche à l'efficacité qui s'installe, donc quelque part une recherche à optimiser les budgets cybersécurité pour utiliser les moyens à bon escient.

Raphaëlle Duchemin : Oui, parce que 65% des dirigeants interrogés s'attendent effectivement à ce que ce budget cyber augmente en 2023. Pour terminer Jamal, je voudrais vous interroger sur cette tendance à la transparence qui manifestement est devenue un enjeu majeur. Il y a quoi, il  y a une idée de résilience aussi derrière ?

Jamal Basrire : Il y a une nécessité à tous les niveaux de l'entreprise et en particulier du top management, de mieux comprendre quelque part ce sujet de la cybersécurité et de toutes ses implications opérationnelles. Donc quelque part, je parlais tout à l'heure d'un responsable de la cybersécurité qui doit sensibiliser son management et donc je pense que cet enjeu de transparence, il est de plus en plus prégnant. Parce qu’ils sont de plus en plus attentifs à ce sujet-là. Je pense qu'il y a également une tendance réglementaire qui va nécessiter dans les prochaines années de plus en plus montrer patte blanche vis-à-vis de l'extérieur, sur la manière dont on traite ce risque cyber qui devient pour certains acteurs, notamment des acteurs dans le service financier, un risque systémique. Et donc qui va nécessiter de mettre en place un certain nombre d'actions pour assurer cette transparence. Donc c'est des tableaux de bord, c'est normaliser les tableaux de bord, c'est s'assurer de la collecte des données opérationnelles qui permettent de les alimenter. Donc effectivement, on constate aussi une tendance à aller vers cette aire de la transparence telle qu'on est pu l'écrire dans cette étude qui consiste effectivement à montrer de manière un peu plus transparente qu'auparavant là où on en est du sujet.

Raphaëlle Duchemin : On verrouille les portes en revanche, on met des portes vitrées pour qu'on voit ce qui se passe à l'intérieur. C'est un peu l'image que j'utiliserai.

Jamal Basrire : C'est tout à fait ça.

Raphaëlle Duchemin : Merci Jamal Basrire.

 Jamal Basrire : C'est moi qui vous remercie.

Raphaëlle Duchemin : Ceci est un état des lieux des craintes et du chemin qui reste à parcourir et rapidement d'ailleurs parce que les spécialistes estiment écoutez bien qu'en 2023, ce sont des attaques de gravité sans précédent qui vont devoir être déjouées. Les menaces seront manifestement plus sophistiquées, plus destructrices aussi, et les risques probablement décuplés. Retrouvez ce podcast et cette étude sur la page dédiée sur le site pwc.fr