#Cyberdayinfo. "La place du cyber dans la gestion de la sécurité et de la sûreté" . Entretien avec Francis Serrano. Président IESAS.

Inscriptions, c'est ici !

Il est d’abord nécessaire de distinguer sécurité et sûreté, deux termes qui sont souvent mal utilisés par méconnaissance. La sécurité désigne tout ce qui relève de l’accidentel, de l’impondérable : risque incendie, risques environnementaux : tous types d’incidents non issus d’une préméditation humaine. La sûreté regroupe essentiellement les actes de malveillance, d’intrusion, de fraudes : les actes criminels. A l’heure actuelle les entreprises attribuent encore généralement la responsabilité des questions de cybersécurité au directeur des systèmes d’information (DSI), plutôt qu’au directeur sécurité ou au directeur sûreté. Or la cybersécurité s’inscrit dans les problématiques de sûreté et de sécurité, tout en nécessitant des compétences dans le domaine du numérique.   

Une des grandes faiblesses des organisations aujourd’hui est de ne pas avoir assez anticipé cette montée en puissance du risque cyber. Les PME et les startups, en particulier, y compris celles qui brassent des données à portée stratégique. C’est pourtant essentiel pour éviter les catastrophes économiques, car il s’agit de la protection de leur patrimoine et de leurs savoir-faire. Par ailleurs, elles n’ont pas toujours le réflexe de se tourner vers les services étatiques chargés des questions de cybersécurité : la Direction générale de la sécurité intérieure, la DGSI, et l’agence nationale des structures et services d’information, l’ANSSI, qui sont pourtant dotées d’outils et de méthodes pour aider et orienter.
 

Chaque entreprise a sa propre politique en matière de protection des données numériques, et les enjeux diffèrent selon le degré stratégique de l’entreprise et selon sa taille. Les grandes entreprises ont généralement toutes un directeur sécurité et sûreté, dont la fonction peut englober la gestion du risque cyber - bien que ce ne soit pas systématique -  puisqu’il gère les malveillances, les fraudes ou encore les intrusions dans l’entreprise. Ce directeur sécurité/sûreté doit absolument être sensibilisé au domaine numérique, même si son champ d’action est plus large. En revanche les entreprises de taille plus modeste n’ont souvent pas la possibilité de recruter des responsables suffisamment calibrés.

• Quoi qu’il en soit, lorsqu’une entreprise met en place une stratégie de sûreté et de sécurité, elle doit disposer d’un minimum d’expertise en technologies informatiques, pour choisir les bons dispositifs et outils, et mettre en place les bons processus. Le numérique étant partout, il existe aujourd’hui de multiples moyens pour une personne mal intentionnée de s’introduire dans une entreprise, via son réseau informatique. Un exemple est celui d’une société qui fait installer des caméras de vidéosurveillance par des installateurs non professionnels. Sachant que sur ce type de système, chaque caméra possède une adresse IP, c’est un jeu d’enfant de s’introduire dans le réseau informatique de l’entreprise, et même physiquement dans l’entreprise, si ce dernier n’est pas sécurisé.

La cybersécurité est devenue un vrai métier, qui ne s’improvise pas. Au-delà des compétences techniques, le directeur ou responsable cyber doit avoir les bons réflexes : mise en place de process, du contrôle, du suivi, des ajustements permanents en fonction des évolutions des menaces, des risques et des retours d’expérience. C’est la seule façon de se prémunir des risques et menaces, notamment ceux et celles qui sont liés à l’outil informatique.

• Contrairement à ce que certains pensent encore, le cyber ne concerne pas que l’espionnage industriel - copie de brevets, d’idées, de plans, de tarifs…Il y a aussi l’extorsion de fonds, par exemple, en pleine progression. Enfin rappelons qu’aujourd’hui, dans beaucoup d’entreprises, tout l’outil de production repose sur des systèmes d’information. Face au risque cyber, si la plupart des grands groupes sont organisés, les petites structures restent souvent dépendantes de leurs réseaux informatiques, mal informées des vulnérabilités auxquelles elles s’exposent.

Cela dit, il y a de plus en plus d’échanges d’informations sur la cybercriminalité, via les agences étatiques, des centres de réflexion comme l’IESAS, ou des événements comme le cyber-day. Mais il faut encore faire un effort sur le langage technique des DSI et parler de choses concrètes, sans quoi il est difficile de sensibiliser les chefs d’entreprises. Pour ma part j’ai suivi il y a quelques temps une formation en criminologie, pour élargir mon périmètre de réflexion, mais aussi pour parler le même langage que les gendarmes, policiers et autres agents de l’Etat chargés des questions de sûreté. Pour faire passer les bons messages, encore faut-il que les mots soient compris par tous. Car aujourd’hui tous les services de tous types d’organisations brassent des données numériques.

• Le risque cyber nous concerne tous.

Propos recueillis par Cynthia Glock