La cybersécurité a été mise en première ligne lors du confinement et l’organisation du télétravail. Surtout avec la recrudescence des cyberattaques. Loïc Guezo est le secrétaire général du Club de la sécurité de l’information français (Clusif), une association de plus de 800 professionnels de la cybersécurité. Il plaide pour que les dirigeants d’entreprises et de collectivités portent plus attention à la question.
La sécurité informatique est-elle le parent pauvre des budgets des entreprises et collectivités ?
Le risque cyber doit être traité au même niveau qu’un risque financier ou environnemental. Les budgets progressent mais sont toujours remis en cause, avec une évaluation des risques sous-estimée [selon l’étude annuelle du Clusif, seules 8 % des entreprises ont un budget sanctuarisé pour la sécurité informatique].
Pour fonctionner, la cybersécurité a besoin d’équipements, de maintenance et d’investir en permanence pour s’adapter aux types d’attaques. C’est un peu comme une assurance. On a l’impression que cette dépense ne sert à rien et qu’on peut assumer le risque.
La crise du Covid-19 et le télétravail ont remis les personnes en charge de la cybersécurité sur le devant de la scène. Elles ont eu leur mot à dire dans les grandes phases d’organisation de la gestion du confinement, du télétravail et du retour au bureau. Il faut espérer que cela continu.
La cybersécurité est un sujet très technique. Cela a-t-il retardé son développement ?
On n’en parlait pas il y a vingt ans. C’était vu comme un sujet pénible, avec un responsable cybersécurité qui demandait du budget pour faire des trucs auquel personne ne comprenait grand-chose. Donc, on n’en voyait pas l’utilité. En 2017, une vague d’attaques (Wannacry), a mis le sujet au cœur de l’actualité. Aujourd’hui, le patron doit être capable de s’exprimer sur le sujet en assemblée générale auprès des actionnaires.
Quels sont les secteurs les plus en avance sur le sujet ?
Trois secteurs sont matures. Le financier, le plus contrôlé, avec de l’argent qui circule. Il y a aussi la défense (l’État et les industriels), qui doit résister aux attaques d’autres pays. Et les systèmes de santé, qui ont une pression sur la préservation des données médicales, extrêmement sensibles.
Depuis quelques années, beaucoup de sociétés externalisent leur sécurité chez un prestataire. Au lieu de contrôler soi-même les serveurs, on se retrouve dans le contrôle a posteriori. Mais en cas de problème, c’est potentiellement tous les clients de ce fournisseur qui sont piratés.
Les petites entreprises et collectivités sont-elles concernées ?
Les pirates préfèrent attaquer des grosses structures qui ont les moyens de payer. Mais attaquer des petites structures, en plus grand nombre, c’est aussi rentable. Récemment, il y a eu beaucoup d’attaques sur des collectivités locales : des mairies, Régions, conseils départementaux.
Le risque zéro n’existe donc pas ?
Jamais. Il y a une professionnalisation des attaquants, avec des mails soignés, sans faute orthographe. Les attaquants peuvent intervenir à tout moment et de partout. C’est du 24 heures sur 24, sept jours sur sept. Une entreprise française ne doit pas considérer que son ennemi travaille aux heures françaises.
Recueilli par Camille MORDELET. Publié le 26/08/2020 à 20h30
Source : https://www.ouest-france.fr/high-tech/numerique/le-teletravail-a-remis-la-cybersecurite-sur-le-devant-de-la-scene-6949152?