Sécurité IT : le Cigref face à l’immensité du cyberespace

Bases de donnéesCyberDéfenseData-stockageGestion des talentsManagementRessources humainesRisquesSécuritéStockage
cigref-cybersecurite-2020

Une étude prospective du Cigref illustre les tendances auxquelles les entreprises françaises seront confrontées ces prochaines années en matière de sécurité informatique.

Les risques liés à l’usage du numérique évoluent vite et obligent les organisations à s’adapter sur un temps très court ; mais une approche uniquement réactive des questions de cybersécurité est préjudiciable à la mise en oeuvre de stratégies efficientes.

C’est l’un des principaux constats dressés par le Cigref dans son rapport “Entreprises et cybersécurité à l’horizon 2020” élaboré avec le centre indépendant d’études et de réflexion prospective Futuribles International. L’étude ayant été réalisée en souscription, les résultats complets sont réservés aux organisations contributrices. Les principaux enseignements sont toutefois compilés en une synthèse (document PDF, 7 pages).

Cet exercice de mise en perspective sur le moyen terme doit faciliter l’adoption de stratégies de réduction des risques à différentes échelles. En l’occurrence, les Etats, les entreprises et les individus, avec des jonctions entre les trois sphères, aussi bien d’un point de vue technique qu’organisationnel.

En établissant six scénarios assimilables à des “futurs possibles”, le Cigref a dégagé une série d’enjeux et de recommandations transverses susceptibles d’affirmer le numérique comme vecteur de compétitivité… sans négliger la sécurité des flux, à l’heure où le système d’information est de plus en plus impliqué dans la chaîne de valeur.

L’immensité du cyberespace

Trois éléments semblent devoir s’imposer comme des problématiques centrales dans la gestion cybersécuritaire sur les prochaines années. En premier lieu, le traitement des données, du stockage à la valorisation. Deuxièmement, la place de l’utilisateur (collaborateurs, clients, partenaires) en tant que premier maillon de la chaîne de risque comme de protection. Enfin, le volet politico-économique à travers la conflictualité dans le cyberespace.

Ce dernier point doit être, selon le Cigref, appréhendé dans un contexte étendu afin de cerner les interactions entre Etats, mafias, hacktivistes et lanceurs d’alertes, qui constituent autant de variables conditionnant les évolutions potentielles du cyberespace. Lequel paraît, à l’heure actuelle, pouvoir se développer dans de nombreuses directions.

Vingt-deux variables ont été jugées déterminantes. Elles sont classées en trois composantes : “Vulnérabilités et opportunités”, “Menaces” et “Environnement extérieur”, ces deux derniers touchant à des aspects externes sur lesquels l’entreprise a peu de marge de manoeuvre.

La catégorie “Menaces” s’articule autour des acteurs non commerciaux (Etats, groupes criminels…). Elle comprend les “phénomènes naturels” et “aléas climatiques” qui peuvent bouleverser l’appréhension du cyberespace par les entreprises.

Les différentes évolutions possibles du cadre législatif ou de la technologie sont regroupées dans la composante “Environnement extérieur”. Il peut s’agir d’une évolution spatiale vers des pays pour l’instant peu connectés, de changements dans la gouvernance d’Internet ou encore de ruptures sur le marché de la sécurité informatique.

Quant aux “Vulnérabilités et opportunités”, elle réunissent les aspects liés directement à l’entreprise : organisation interne, place de l’informatique dans la structure, liens avec des fournisseurs immédiats de solutions, etc.

Halte à la dépendance technologique

L’une des recommandations du Cigref émane directement de cette problématique : il sera crucial, pour les entreprises, de garder le contrôle sur la cybersécurité en interne. Ce qui implique de la vigilance dans le choix des prestataires externes “d’autant plus que le marché apparaît dominé par des acteurs non européens […] dont les liens avec leur Etat sont parfois marqués“.

Dans cette logique de maîtrise de la chaîne de valeur, le Cigref en appelle au développement de solutions informatiques sécurisées et labellisées en collaboration avec les pouvoirs publics, ainsi qu’à la mise en place d’un système de contrôle des infrastructures avec des intermédiaires comme l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Autres synergies explorables avec l’Etat : la mise en place de plates-formes d’information et d’outils d’alerte qui seraient également communs entre organisations d’un même secteur, afin d’avoir une vision plus globale des cybercriminels et d’identifier plus facilement les données sensibles.

Autant de pistes qui devront, d’après le Cigref, s’assortir d’un renforcement de la législation européenne, notamment sur le stockage et la protection des données. Le réseau de grandes entreprises estime que “la place prégnante des acteurs GAFA dans les services aux entreprises […] peut entraîner des dérives diverses s’il n’existe pas un cadre législatif strict“.

Outre les aspects techniques, il conviendra de travailler sur la formation, la sensibilisation des dirigeants et l’information des collaborateurs. Ce qui passera par un accompagnement à la transformation du métier de RSSI (responsable de la sécurité des systèmes informatiques). Le domaine de compétences lié à cette fonction est amené à s’élargir à mesure que les différents services de l’entreprise intègrent une dimension “cyber” à leur activité.

En plus de consolider leur R&D pour combler l’avance prise par les acteurs américains et le “développement rapide des émergents dont la Chine”, les grands groupes devront donner l’impulsion en réfléchissant à la meilleure façon d’intégrer, dans leur fonctionnement, les nouveaux métiers associés aux données : chief data officer, data scientist

Crédit illustration : Taiga – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur