Cybersécurité : grands défis et bonnes pratiques d’aujourd’hui

On a tous un téléphone portable dans la poche, un ordinateur à la maison ou au bureau. On est tous connectés, surfant, tchatant, échangeant des mails sur une, voire plusieurs messageries, multipliant les réseaux. Le Net est partout, la toile, comme on l'appelait à ses débuts, s'est étendue. On y communique, on y achète des biens, on y partage ses photos, sa vie professionnelle et personnelle, mêlant parfois mails publics et privés. Face à son écran, on se croit isolé, voire protégé. Il n'en est rien. Le nombre de cyberattaques dans le monde ne cesse de croître. Premier pays ciblé, les États-Unis, et les pertes se comptent en milliards de dollars chaque année. Mais au fait, faisons-nous le nécessaire pour nous protéger ? Pour le savoir, PwC a mené l'enquête. Je suis Raphaëlle Duchemin et nous ouvrons un dossier très sensible ensemble, celui de la cybersécurité. PwC en direct. Se défendre contre l'ennemi invisible. Voilà aujourd'hui à quoi sont confrontées de par le monde, les entreprises. Cette guerre qui ne dit pas son nom, c'est celle de la sécurité, de la cybersécurité. L'assaillant avance masqué et, bien souvent, la victime se croit à l'abri, pense avoir pris suffisamment de précautions pour parer les coups. Elle a tort. Une attaque de ransomware a lieu toutes les dix secondes. 80 pour cent des attaques sont du phishing, 90 pour cent des logiciels malveillants sont dus à nos courriers électroniques. Pendant deux mois, PwC Research a mené des investigations. Ce ne sont pas moins de 3 602 dirigeants d'entreprises qui ont donc été interrogés. Qui sont-ils et ont-ils la même perception du problème ? Nous allons tous avoir.

Raphaëlle Duchemin : Bonjour Philippe Trouchaud.

Philippe Trouchaud : Bonjour.

Raphaëlle Duchemin : Vous êtes Chief Technology and Products Officer. Ce qui est frappant quand on regarde le résultat de cette étude, c'est, à première vue, la disparité géographique. Selon l'endroit où l'on travaille sur la planète, on est plus ou moins éduqué à cette notion de cyber danger et donc de cyberdéfense. On est différent quand on est aux États-Unis, en Europe de l'Ouest ou quand on est ailleurs ?

Philippe Trouchaud : On est différent, mais en réalité, c'est un phénomène mondial. Les attaquants attaquent autant qu'ils peuvent et ils n'ont pas de nationalité, ni de géographie. En revanche, il y a des pays qui ont quand même plus investi que d'autres dans la technologie. Plus on investit dans la technologie, plus on s'expose. Ce qu'on peut noter par rapport à cet investissement dans la technologie, c'est qu'on n'a encore rien vu de nos sociétés ou de nos entreprises digitales. Aujourd'hui, on dépense, au niveau mondial, à peu près 5 000 milliards de dollars dans la technologie. D'ici cinq ans, on sera à un niveau de 10 000 milliards. Même si on pense être encore très technologique, sous l'effet conjugué notamment du déploiement de l'intelligence artificielle des réseaux de 5G, on va avoir une courbe exponentielle dans l'investissement technologique qui ne fera que renforcer notre exposition au risque cyber qui est maintenant un phénomène mondial bien connu, qui effectivement, est probablement un peu moins bien recensé en Asie qu'en Europe ou aux États-Unis.

Raphaëlle Duchemin : En fonction du secteur d'activité dans lequel on se trouve, on est aussi plus ou moins averti des risques. Assez logiquement, dans les médias, les télécoms, on a pris la mesure, moi, par exemple dans les administrations. Pourtant, la fuite de données y est tout aussi délicate à gérer.

Philippe Trouchaud : Absolument. On peut essayer de segmenter les cibles plutôt par taille d'entreprise ou taille d'administration. Autrement dit, les grandes entreprises ont pris conscience de ce sujet il y a un peu plus de dix ans. Elles ont même été souvent poussées par leurs administrateurs, voire par leurs investisseurs, à améliorer leur niveau de cybersécurité. C'est un paysage qui est très différent lorsqu'on regarde les petites entreprises, les entreprises de taille moyenne ou les petites administrations. J'entends par là les mairies, les petits hôpitaux parce que ce segment-là n'a pas ou très difficilement accès à la compétence et n'est pas forcément au cœur des stratégies des acteurs de la technologie cyber. Plus vous êtes petit, plus vous êtes dépourvu. On le voit quand on sonde les dirigeants de petites entreprises, ils sont un peu dans le syndrome de Tchernobyl, c'est-à-dire qu'ils lisent les journaux ou ils s'exposent aux médias comme tout le monde. Ils ont conscience du risque cyber, mais ils pensent que ça ne les concerne pas.

Raphaëlle Duchemin : D'accord. Ce qui joue c'est la taille de l'entreprise et peut-être aussi le chiffre d'affaires qu'elle réalise. Plus on est gros, plus on a de clients, plus on a tendance à mettre des garde-fous. De quoi dépend la politique mise en place ? Du poids économique de l'entreprise ?

Philippe Trouchaud : Oui, parce que les grandes entreprises partout dans le monde, ces 10, 15 dernières années, ont été attaquées dans leur chaîne de valeur par des nouveaux acteurs de la technologie en fait, les banques.. Tous les secteurs de l'économie ont été disruptés par des nouveaux acteurs de la technologie. En réaction, ces grandes entreprises ont beaucoup investi dans la technologie, avec le corollaire qui était d'investir aussi massivement dans la cybersécurité. À contrario, les petites entreprises ont cet usage que vous citez dans votre introduction de la technologie, ne serait-ce que la technologie un peu personnelle, qui se confond aussi avec les frontières de l'entreprise, mais elles ont du mal à accéder à la compétence. Si vous êtes dirigeant d'une entreprise de dix personnes, vous n'avez pas forcément vocation à recruter un responsable sécurité. Cet accès à la compétence et même à la technologie est beaucoup plus compliqué pour les structures de petite taille.

Raphaëlle Duchemin : C'est un paradoxe parce que la data, qui doit être protégée quelle que soit la taille de la société ou de l'administration, est la même.

Philippe Trouchaud : Elle est exactement la même. Les conséquences des ransomwares peuvent parfois être mortelles. Il y a des entreprises dans le monde qui font faillite simplement parce qu'on a crypté leurs données.

Raphaëlle Duchemin : On a toujours tendance à penser que ça n'arrive qu'aux autres, mais les cybercriminels ont plus d'un tour dans leur sac. S'il y a une faille dans le dispositif, même le plus sophistiqué, ils vont la trouver et vont l'exploiter. Fuites de données, image dégradée vis-à-vis des clients, remise à niveau du système. L'entreprise ou l'organisation joue gros. L'entreprise sait-elle vraiment évaluer les risques auxquels elle s'expose ?

Raphaëlle Duchemin : Les entreprises, quand on les interroge, répondent que le risque peut être évité. Philippe Trouchaud, pour autant, sont-elles nombreuses à faire le nécessaire en interne pour s'armer et aussi pour faire de la pédagogie ?

Philippe Trouchaud : C'est une vaste question. Il faut prendre conscience que ceux qui attaquent ont l'acuité visuelle de trouver l'aiguille dans des milliers de bottes de foin. Pour prendre une image, un système qui n'est pas à jour, comme votre téléphone portable ou votre ordinateur, devient vulnérable. Il y a un effort considérable qui consiste à mettre à jour régulièrement les systèmes parce qu'il y a des failles qui apparaissent, qu'on découvre au fur et à mesure. La plupart des incidents proviennent de mails que l'on ouvre. Ça ce n'est pas tellement de la technologie, c'est surtout de l'humain, du comportement. Ces attaques sont souvent très sophistiquées, difficile de déceler ces mails malveillants. C'est un général d'armée qui disait que la sécurité était 80 pour cent de culture et 20 pour cent de technologie. On a certainement beaucoup à faire encore en termes d'éducation, de compréhension du risque et j'ai tendance à penser que comme on va être dans un monde de plus en plus digital, c'est une éducation au risque qui devrait commencer dès l'école.

Raphaëlle Duchemin : Oui, parce que quand on regarde l'étude, 3/4 des personnes interrogées pensent que ce risque est évitable. Ça signifie réellement qu'il y a un défaut de vigilance.

Philippe Trouchaud : Absolument, c'est ce qu'on voit quand on fait le post-mortem d'une attaque. Dans 99 pour cent des cas, elle a été rendue possible parce qu'un système n'était pas à jour. C'est devenu, pour les gens qui attaquent, un business mondial, ils y mettent beaucoup d'argent. On voit très bien dans les enquêtes que c'est une parfaite translation de la délinquance physique vers le monde cyber. C'est beaucoup plus rentable. Vous n'avez quasiment pas besoin de personnel. Ce sont des ordinateurs qui travaillent à votre place. À l'époque où vous attaquiez des banques, il fallait être dans la rue et vous étiez limité à une toute petite surface d'attaque. Là, quand vous êtes un attaquant, c'est-à-dire le crime organisé, vous avez immédiatement une couverture mondiale de vos attaques. Ça reste, pour ces gens-là, des pratiques assez peu risquées parce que si vous avez la bonne idée d'attaquer dans des pays ou dans lequel il n'y a pas de convention juridique, paradoxalement les recours sont très difficiles à exercer. Ça progresse beaucoup en Europe et on peut même voir aussi une certaine clémence de la jurisprudence. Les tribunaux voient parfois encore ces délinquants comme des Robin des bois de l'Internet.

Raphaëlle Duchemin : Quand on regarde, une organisation sur trois seulement a changé ses habitudes. Pourquoi ce manque de réaction ou ce manque d'anticipation tout en ayant conscience du risque ?

Philippe Trouchaud : C'est une question qui est difficile parce que ce n'est pas un phénomène visible. Investir sur quelque chose que vous ne voyez pas, que vous ne comprenez pas les neuro-spécialistes l'expliquent très bien, quelque chose qui fait peur, qu'on ne comprend pas, qui est complexe, notre cerveau a tendance à éliminer le sujet, à cause de notre inconscient.

Raphaëlle Duchemin : Les bastions les mieux défendus, les citadelles dites imprenables sont parfois tombées par le passé, victimes de subterfuges quasi enfantin. Si les entreprises se croient à l'abri en se dotant des meilleurs systèmes de sécurité, elles doivent aussi être vigilantes car l'ennemi peut arriver par des chemins détournés, dissimulés à l'image souvenez-vous jadis, du cheval de Troie. Philippe Trouchaud, quand une organisation investit dans un système de sécurité, elle se pense évidemment à l'abri. Pourtant dans la chaîne d'approvisionnement, dans les échanges qu'elle a avec l'extérieur, elle peut faire entrer le loup dans la bergerie.

Philippe Trouchaud : Absolument. Pour vous narrer une anecdote, c'est l'histoire de l'attaque d'un hôtel casino à Las Vegas. Il y avait, à l'entrée de cet hôtel, un aquarium avec des poissons exotiques qui étaient très sensibles aux variations de température. Plutôt que de faire des relevés de température, ils avaient connecté un thermomètre dans cet aquarium qui était relié au réseau. Cet hôtel casino a été piraté par ce cheval de Troie qui était le thermomètre qui était connecté au réseau. Ce qu'on note, c'est qu'au-delà du système informatique traditionnel dans les entreprises, il y a de plus en plus d'objets connectés. Dans les bâtiments, il y a des capteurs partout qui sont connectés à des réseaux. C'est encore plus présent dans l'industrie, dans les entrepôts, dans les usines, on met des capteurs, des objets intelligents partout. Ça facilite considérablement les processus, mais ça se connecte et ces objets-là sont parfois très compliqués à sécuriser parce que parfois, on ne les inventorie pas et on n'en maîtrise pas forcément la conception.

Raphaëlle Duchemin : Est-ce que les organisations, les entreprises dont on parle ont compris que les menaces les plus graves finalement, peuvent arriver par ce biais extérieur ? Ou est-ce que c'est encore à la marge ?

Philippe Trouchaud : Dans l'industrie, ça fait longtemps qu'on a compris qu'il fallait sécuriser ces objets. Dans les services ou dans le bâtiment, c'est plus compliqué parce que ce sont souvent des objets qui sont reliés à un réseau, mais dont la gestion n'appartient à personne. Il y a beaucoup d'ascenseurs dans les grandes tours de la Défense et ces systèmes d'ascenseurs sont souvent gérés sous un système d'exploitation qui s'appelle Windows 98 de l'année éponyme. C'est un système qui est complètement obsolète, mais qui va investir dans le système qui gère une cage d'ascenseur. C'est un peu comme avec votre syndic dans votre copropriété, c'est que personne n'a envie d'investir dans ce genre de choses. Il y a beaucoup d'objets connectés pour lesquels on a une difficulté de périmètre de responsabilité et de coûts de mise à jour.

Raphaëlle Duchemin : Quels sont les moyens que les entreprises, les organisations peuvent employer aujourd'hui pour tenter de minimiser les risques liés au tiers ? Je pense aux relations fichiers, aux fichiers clients, aux fournisseurs, tout ce qui vient de l'extérieur.

Philippe Trouchaud : Beaucoup de grandes entreprises sont plutôt attaquées au travers des sous-traitants qui ont accès au système d'information que par l'entreprise elle-même. C'est un sujet qui est complexe. Il y a 10 ou 15 ans, on essayait de gérer ça au travers du juridique. On s'aperçoit qu'il faut toujours des contrats qui font peser des responsabilités sur le sujet de la sécurité, mais ce n'est pas la meilleure façon d'aider des petits sous-traitants. Il faut leur apporter de la compétence et, là aussi, de la pédagogie, voire des moyens pour sécuriser leurs connexions. De plus en plus, on voit que les grands donneurs d'ordres essaient d'aider très concrètement ces plus petites entreprises, ces sous traitants, à mieux se sécuriser.

Raphaëlle Duchemin : Est-ce qu'on a clairement identifié les points sensibles et comment est-ce qu'on peut renforcer la protection ?

Philippe Trouchaud : Ce qu'on a encore du mal à faire sur ce sujet, c'est la détection. Dans la plupart des entreprises, on a quand même un certain niveau de protection. C'est la détection qui est encore un peu le parent faible, en particulier quand il s'agit de petites entreprises. Souvent, ce qu'on constate, c'est que même quand on a les mécanismes de détection, on n'a pas forcément les bons mécanismes de réaction. Si on prend une image, vous pouvez avoir des alarmes qui sonnent, mais il n'y a personne, ni pour les pour les entendre, ni pour avoir le bon report d'alarme et même quand l'alarme sonne, on ne sait pas toujours ce qu'il faut faire quand l'alarme a sonné.

Raphaëlle Duchemin : Quelles solutions pour doter les entreprises d'une cotte de mailles inviolable ? Et si la réponse était, en plus, de simplicité ? Philippe Trouchaud, pour mieux comprendre les risques auxquels elles sont exposées, le point de départ, et vous l'avez dit tout à l'heure, c'est l'information et sa circulation. C'est la clé, la pédagogie, apprendre et faire comprendre.

Philippe Trouchaud : Absolument. La complexité des systèmes d'information a été exponentielle. On a mis de la technologie absolument partout dans les entreprises, on gère assez mal, de manière générale, le cycle de vie de l'information. On a du mal à archiver, voire parfois à détruire de la donnée, on en a de plus en plus et on a du mal à la localiser. Lors d'une précédente enquête, on notait que les dirigeants considèrent que le premier actif de leur entreprise, c'est la donnée, ce qui est très à la mode. Ces mêmes dirigeants répondaient à 80 pour cent qu'ils ne savaient pas où étaient les données les plus critiques. On peut se dire qu'il faut arriver à une saine gestion des risques, c'est-à-dire de comprendre quelles sont les données les plus critiques de l'entreprise, Les systèmes les plus critiques. Lorsqu'on a fait cet inventaire et qu'on a une vision des risques, on peut faire varier les niveaux de sécurité et se focaliser sur un niveau de sécurité, parfois très élevé, sur les systèmes les plus critiques. Tout protéger au même niveau, c'est financièrement et humainement impossible.

Raphaëlle Duchemin: Ça veut dire qu'il faut aussi, pour que cette information circule, mettre des bonnes pratiques en place, les partager, qu'elle devienne une sorte de réflexe en interne ?

Philippe Trouchaud : Absolument. Ce n'est pas l'affaire d'un responsable sécurité, c'est beaucoup de comportements, beaucoup d'hygiène en matière d'informatique. Ça doit être une culture de sécurité qui se déploie en même temps que la technologie. C'est là où c'est plus compliqué parce qu'on touche à l'humain, on touche aux comportements.

Raphaëlle Duchemin: C'est peut-être par l'exemple que ça passe parce que quand on regarde les résultats de cette étude, on s'aperçoit que les entreprises qui sont les plus performantes en termes de cybersécurité sont aussi celles qui ont rationalisé les choses en interne.

Philippe Trouchaud : On a eu tendance à développer des nouveaux systèmes en plus des systèmes de gestion un peu usuels ou traditionnels de l'entreprise. Au vu de ce qu'on a développé en matière de complexité de systèmes, il y a beaucoup d'entreprises, celles qui sont les plus matures en matière de cybersécurité, qui se disent qu'il faut d'abord commencer par rationaliser leur système d'information. C'est la seule voie possible pour atteindre un niveau de complexité qui est humainement et financièrement gérable.

Raphaëlle Duchemin : Le PDG aussi a son rôle à jouer. Ça, c'est important et ça ressort dans l'étude.

Philippe Trouchaud : Les dirigeants ont un rôle majeur à jouer. D'abord, je pense en termes d'exemplarité. Si, parce que vous êtes dirigeant et que vous partez en week-end ou peu importe, vous vous envoyez des documents sur votre email perso parce que ça sera plus facile à consulter dans le train, vous êtes vous-même une faille et ça arrive tous les jours. Le dirigeant est aussi là pour attirer les talents et montrer qu'il y a une vision dans l'entreprise sur ces sujets-là. Dans la cybersécurité comme dans beaucoup de secteurs liés à la technologie, on est dans une guerre de talents. Pour citer quelques ordres de grandeur, on sait qu'aux États-Unis il manque à peu près un demi-million de professionnels sur le marché de la cybersécurité. La Commission européenne a fait ses propres calculs, elle considère qu'en 2025, on manquera dans le monde entier de 3 millions de professionnels. Il y a encore beaucoup de choses à faire pour acquérir les bons talents en cybersécurité.

Raphaëlle Duchemin : Ne pas être un colosse aux pieds d'argile, c'est le défi pour les organisations. Aujourd'hui, on le voit, les villes, les Etats, les plus grosses sociétés de certains pays se font pirater. Il va donc falloir augmenter d'un cran encore le niveau de sécurité et évidemment, cela a un prix. Philippe Trouchaud, aujourd'hui, quel est le budget que consacrent les entreprises à la lutte contre le piratage informatique ?

Philippe Trouchaud : Les entreprises les plus matures et on le voit dans nos enquêtes que, comme par hasard, elles sont plutôt les mieux protégées. Elles dépensent entre 10 et 15 pour cent de leur budget informatique dans la cybersécurité. C'est souvent plutôt des grandes entreprises et, à la fin, ça peut faire plusieurs centaines de millions d'euros d'investissements par an.

Raphaëlle Duchemin : Au regard des pertes liées au piratage, c'est un investissement qui paraît indispensable. Dans le cas contraire, ça génère des pertes, voire des pertes colossales d'argent. En cas de hacking, on peut tout perdre. Est-ce que ce risque-là, cette balance-là, les dirigeants la font dans leur tête ?

Philippe Trouchaud : Je pense qu'ils le font, mais je pense que l'analyse doit même aller au-delà parce que la multiplication des incidents de cybersécurité, les craintes qu'on peut avoir dans la technologie impliquent quelque chose qui est presque encore plus vital pour les entreprises, c'est que les clients perdent confiance. C'est extrêmement marqué dans beaucoup d'enquêtes. En France, vous avez 70 pour cent des Français qui n'ont plus confiance dans le digital. Il y a 5 ans, les Google Car étaient considérées comme des bijoux de technologie, y compris en Californie. Aujourd'hui, Google a du mal à faire rouler ses Google Cars parce qu'on les caillasse et on leur crève les pneus. Il y a ce phénomène qui est un amalgame qui n'est pas lié qu'à la cybersécurité. Néanmoins, on voit naître, notamment dans les pays à économie assez développée, ces phénomènes de rejet de la technologie.

Raphaëlle Duchemin : Le plus difficile finalement, c'est d'installer une culture de la cybersécurité et peut-être aussi de la mettre en phase avec les objectifs de la société, de l'entreprise ou de l'organisation ?

Philippe Trouchaud : La cybersécurité est un sujet de confiance par rapport au client, par rapport aux employés et par rapport aux investisseurs. Il ne faut pas le voir seulement comme un investissement technologique. Ça attaque le capital de marque de l'entreprise et on le voit très bien. Si vous êtes une entreprise cotée, si vous avez tendance à multiplier les incidents de cybersécurité, vous perdez une partie de la confiance des investisseurs parce que les Equity Analysts savent qu'il y aura d'autres crises. Si vous ne montrez pas votre capacité en tant qu'entreprise et dirigeants, à gérer des crises, vous enregistrez dans votre cours de Bourse de manière durable un effet négatif d'à peu près moins 20 ou moins 22 pour cent, ce qui est ramené encore une fois à la capitalisation boursière de toutes les entreprises. Ça fait, à la fin, beaucoup d'argent.

Raphaëlle Duchemin : D'ailleurs les sociétés le réclament, il faut de l'apprentissage, de l'éducation, si on veut pouvoir sécuriser le système à l'horizon 2030 ? L'effort doit porter sur la formation, la formation des équipes, mais aussi la formation en amont, la création de filières ?

Philippe Trouchaud : Les mécanismes traditionnels de formation ne fonctionnent pas en matière de cybersécurité. C'est le même phénomène qui est très bien décrit par les neuro-spécialistes, ça fait peur, c'est complexe, votre cerveau n'est pas apte à se pencher sur ce genre de sujet. La seule chose qu'on voit marcher en matière d'éducation, c'est ce qu'on appelle le serious gaming. Il faut créer une appétence au sujet et on arrive à le faire que grâce à du jeu. On a développé un serious game lié à la cybersécurité qui s'appelle Game of Sweat et on voit qu'on arrive à faire comprendre un certain nombre de mécanismes de sécurité et à faire en sorte que les gens se les approprient. Je reviens sur la deuxième partie de votre question sur les filières. On a besoin de développer nos filières et ça tombe bien, la France est un territoire d'écoles d'ingénieurs. Nos écoles d'ingénieurs les plus prestigieuses sont plutôt issues d'écoles de guerre, elles ont déjà une culture de sécurité. En termes de système éducatif, on a les meilleurs atouts dans le monde pour le faire. Encore faut-il réussir à massifier ces filières. Le point qui est majeur pour moi, c'est la féminisation de ces filières. C'est une catastrophe, vous regardez la moyenne des écoles d'ingénieurs technologiques, c'est à peine cinq à huit pour cent de femmes. Je pense que c'est extrêmement important dans la cybersécurité parce que les hommes ont un côté très va-t-en guerre sur le sujet.

Raphaëlle Duchemin : Avec la crise sanitaire et le télétravail mis en place, le nombre d'attaques a doublé ces deux dernières années. Les entreprises ont parfois dû se tourner en urgence vers des spécialistes. C'est pourtant un travail permanent qui doit être fait pour que la traque soit efficace. Doit-on se doter d'outils européens mieux sécurisés ? Est-il temps de mettre en place une cartographie des risques ? Certains experts y sont favorables. Quelques chiffres vont peut-être finir de les convaincre. L'industrie de la cybersécurité pesait 176 milliards de dollars l'année dernière, on estime qu'elle aura atteint au moins les 403 milliards dans six ans. Merci Philippe Trouchaud.

Philippe Trouchaud : Merci beaucoup, Raphaëlle, pour ce très bel entretien.

Raphaëlle Duchemin : Cette étude et ces détails sont à retrouver sur pwc.fr.