Cybersécurité

Un secteur de l’ombre qui concerne tout le monde

Internet est au coeur de tout. Si nous avons construit un monde virtuel qui conditionne le bon fonctionnement de nos sociétés « réelles », rendre cet espace numérique sûr est une priorité pour les entreprises garantes de la stabilité du Net. Protéger la Toile, c’est protéger nos modes de vie ainsi que notre économie.

Une histoire vieille de 30 ans

Pour comprendre où nous en sommes aujourd’hui ; comprenons d’où nous venons. Retour dans le passé : 1969, l’ARPANET, l’ancêtre d’internet, voit le jour aux Etats-Unis et sert de roue de secours dans le cas d’une guerre nucléaire avec la Russie. Nous sommes en pleine guerre froide et l’humanité fait un premier pas historique vers le digital.

Onze ans plus tard, en 1980, ARPANET se démocratise en Amérique. C’est véritablement là que se construit la Toile que nous connaissons aujourd’hui. De l’autre côté de l’Atlantique, en France, cette même année sera marquée par le début du Minitel. Plus que jamais, le digital plaît, séduit et intrigue des populations privilégiées – essentiellement militaires et scientifiques – qui en demandent toujours plus sans connaître le réel potentiel d’internet.

En 1988, Joseph Lechleider, ingénieur au laboratoire de recherche Bell, révolutionne le monde de la connectivité en constatant que lorsque les débits ascendants et descendants sont identiques (SDSL), les parasites sont trop nombreux et font chuter les débits. Pour lui, le but premier du Web était de fournir du contenu de qualité le plus rapidement possible. Il imagine donc un moyen de favoriser la vitesse de téléchargement aux dépens de la vitesse d’émission et crée ainsi l’ADSL – qui ne sera commercialisé en France qu’à partir de 1999, soit onze ans plus tard. A cette époque, les Etats-Unis ont une longueur d'avance sur le reste du monde et internet se développe à une vitesse phénoménale.

Les premiers entrepreneurs visionnaires commencent à penser aux futurs business models qui seront axés autour du numérique et de la connectivité. Les idées sont là. Les investisseurs arrivent. Les contrats se multiplient. Les dérives du Net sont à la porte.

Le 2 novembre 1988, Morris, la première cyberattaque importante de l'histoire voit le jour. Ce ver expérimental créé par l’étudiant Robert Tappan Morris est diffusé depuis le campus du Massachussets Institute of Technology (MIT) et a la particularité de s’auto-répliquer et de se propager par lui-même de système en système. Si l’objectif premier de cette manipulation ne consistait aucunement à nuire à l’ordre public, malgré lui, le jeune hacker paralyse des milliers de machines connectées de chercheurs universitaires, scientifiques et militaires. Conséquences de l’attaque : Robert Tappan Morris est sanctionné d’une amande de 10 000 dollars, la communauté du Web – quasiment inexistante à cette époque – prend alors conscience de l’importance de la cybersécurité et crée le CERT, le tout premier centre d'alertes et de réactions aux attaques informatiques.

Le boom du secteur de la cybersécurité

Trente ans plus tard, le numérique a déjà atteint sa maturité. Le monde s’est complètement métamorphosé et le digital a révolutionné notre environnement quotidien. De l’internet des objets au Web social en passant par la géolocalisation, chaque jour, l'espace de notre réalité vécue devient plus virtuel. De ce fait, tous les marchés se réinventent en profondeur, qu'il s'agisse de la banque avec les paiements sans contact, de la santé avec l’automédication à distance, de l'automobile avec les voitures connectées ou encore de l'immobilier avec la réalité augmentée… Le digital n'est pas une discipline, loin de là, le digital transforme et régénère absolument toutes les disciplines. D’ailleurs, chaque entreprise doit opérer sa « disruption digitale » si elle ne veut pas être dépassée. En 2018, une entreprise ou un individu déconnecté devient rare, très rare, presque isolé du monde intraconnecté qui l’entoure.

Dans ce contexte, le marché de la cybersécurité est en pleine explosion. Si chaque année des millions de structures professionnelles – petites, moyennes et grandes – et d’internautes subissent des cyberattaques, au-delà d’avoir un impact négatif sur la confiance des utilisateurs dans le numérique, les conséquences de ces délits sont aussi financières : d’après une récente étude de Norton, en 2017, les cyberincidents ont coûté plus de 600 milliards de dollars à l’économie mondiale.

Qui dit pertes, dit inquiétudes. Selon l’étude Global CEO Survey 2018 de PwC, la cybersécurité est devenue l’une des quatre préoccupations majeures pour les dirigeants d’entreprises à l’échelle internationale qui n’envisagent en aucun cas de voir leurs bénéfices chuter à cause de manipulations illégales orchestrées par des groupes d’hackers agiles et bien organisés. Réagir devrait être une priorité pour tous. Mais l’est-ce vraiment ?

« Pour contrer les cyberattaques, il est nécessaire de nous en donner les moyens en termes d’investissements, de développement des nouvelles technologies, de recrutement et de formation des hommes. »

Philippe Trouchaud, Associé Cyber Intelligence, PwC France

Observation surprenante : de nombreux pays enregistrant des taux de connectivité élevés se laissent surprendre par des attaques chaque jour un peu plus sophistiquées. Le laxisme semble l’emporter sur la contre-attaque. Un exemple : la France, un pays peuplé de chefs d’entreprises qui, pour la grande majorité d’entre eux, ne juge pas la cybersécurité comme une menace prioritaire et de ce fait ne se protège que partiellement contre les attaques.

Le paradoxe français, un cas loin d’être isolé

Si la cybersécurité représente un enjeu prioritaire pour seulement 29 % des entreprises en France1, c’est surtout parce qu’en interne, un faible pourcentage (32 %) de collaborateurs et dirigeants sont convaincus de l’importance de se protéger contre les cyberattaques. Autrement dit, ce qui est important n’est pas forcement prioritaire pour eux. De ce fait, même si une prise de conscience des dangers liés à la Toile existe, les actes concrets visant à protéger le monde numérique manquent à l’appel. Selon le premier baromètre d’Ipsos pour PwC portant sur la cybersécurité en France, deux entreprises sur dix se disent capables de gérer une cyberattaque. Les huit autres ne le sont pas. Elles le savent. Mais elles ne réagissent pas. Pourquoi ?

Rami Feghali, associé chez PwC, explique : « les entreprises françaises restent dans le déni face à la cybermenace. Pour la majorité d'entre elles, leur perception du risque est très éloignée de la réalité. En conséquence, elles ne se donnent pas les moyens de mise en place d'un véritable dispositif de gestion de cyberrisques. Leur dynamique reste curative au lieu d'être préventive. »

Elles subissent puis réagissent. Elles attendent d’être attaquées et de constater les dégâts pour ensuite améliorer leur défense. Cela ne peut pas continuer ainsi. Agir de la sorte, c’est accepter de laisser l’avantage aux attaquants.

Philippe Trouchaud, associé Cyber Intelligence chez PwC, ajoute : « pour contrer les cyberattaques qui sont chaque année plus nombreuses, il est nécessaire de nous en donner les moyens aussi bien en termes d’investissements réalisés que de développement des nouvelles technologies, de recrutement et de formation des hommes. La cybersécurité n’est pas qu’une histoire de protection de systèmes informatiques, c’est aussi une affaire de compétences humaines qui doivent être mises au service d’un projet global, commun et collaboratif. »

Des entreprises de toute taille installées hors de l’Hexagone qui s’exposent quotidiennement aux dangers du Net sans se protéger en conséquence, ce n’est pas ce qui manque. Pour régler ce problème, imposer des règles et favoriser la collaboration est de rigueur. Emmanuel Macron, Président de la République Française, déclarait cet été que la France n’arrivera pas à assurer sa défense seule, une entraide entre pays européens pour sécuriser notre marché est la solution que nous devons appliquer. Après tout, si tout le monde joue le jeu, l’union ne peut que faire la force. Pour que cette solution fonctionne, l’esprit collaboratif devra s’étendre à l’échelle planétaire puisque la Toile ne connait aucune frontière et ne se développe pas sous la responsabilité d’une seule personne ou d’une seule entreprise. La cybersécurité est une affaire qui nous concerne tous.

1. Baromètre sur la cybersécurité d’Ipsospour PwC, 2018

Une défense collective nécessaire pour une préoccupation universelle

Pour illustrer le parfait exemple d’une défense collaborative, penchons-nous sur le cas de l’Europe.

Les 28 et 29 septembre 2017, à l’occasion du premier Sommet digital de l'Union Européenne, le numérique a été placé au coeur de la relance du projet européen. Pour que ce dernier puisse se concrétiser, une politique offensive – comprenant un plan de refonte de l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) pour en faire l’Agence de cybersécurité de l’UE – et efficace en matière de cybersécurité a été élaborée. Cet effort inédit d'organisation s'est doublé d'un effort législatif et réglementaire de grande ampleur. La directive sur la sécurité des réseaux et des systèmes d'information (Network and Information Security, NIS) ainsi que le Règlement général sur la protection des données (RGPD), entrés en vigueur en mai 2018, forment les piliers d'une politique ambitieuse de cybersécurité permettant au Vieux Continent de se démarquer du reste du monde en s’autoproclamant « le continent de l’éthique ». En travaillant main dans la main, les Etats membres de l’UE comptent mettre de l’ordre dans une sphère numérique désordonnée, désorganisée et perturbée par des internautes qui, volontairement ou involontairement, consciemment ou inconsciemment, rendent la Toile vulnérable.

Selon Philippe Trouchaud, « pour gagner la bataille de la cybersécurité, nous avons besoin de la mobilisation de tous les acteurs privés et publics aspirant à développer l’économie nationale, européenne et mondiale grâce au numérique. Pour que tous les concitoyens conservent une vraie confiance dans le digital, nous devons procéder à une sensibilisation massive au cyberrisque et développer une éthique universelle du Net. Ce n’est qu’en éduquant les internautes aux bonnes pratiques et en invitant les entreprises à être davantage responsables que nous réduirons au maximum les facteurs de risque. »

Pauline Adam-Kalfon, associée chez PwC, ajoute : « cette bataille pour la cybersécurité, et plus particulièrement pour la maîtrise et la sécurité des données, nous la menons contre nos adversaires, ici et partout. Mais nous la menons aussi, et surtout, contre nous-mêmes, contre nos propres négligences et les erreurs évitables que nous commettons. »

Pour sa survie, le monde du numérique a besoin d'éthique et de cybersécurité.

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

Contactez-nous

Rami Feghali

Rami Feghali

Associé responsable des activités Risques et Réglementations dans le secteur financier, PwC France

Tel : +33 1 56 57 71 27

Philippe Trouchaud

Philippe Trouchaud

Associé Cybersécurité, PwC France

Tel : +33 1 56 57 82 48

Suivez-nous !
Masquer