Home » Posts tagged 'cyber-risque'

Tag Archives: cyber-risque

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Cyber-risques : technologies émergentes et vie privée

De nouveaux cyber-risques apparaissent au fur et à mesure que des technologies émergentes arrivent sur le marché. Dans de nombreux cas les données privées sont menacées. La protection de la vie privée des individus, malgré le RGPD, est de plus en plus mise en défaut. Y a-t-il des solutions? Quelles sont les responsabilités?

Cyber-risques : Technologies émergentes (objets connectés, IoT) et protection des données personnelles et de la vie privée
Crédit © rawpixel.com 2018

Il est maintenant possible de connecter presque tous les objets. Bien sûr on pense à la montre connectée, mais il y a aussi de nombreux autres équipements concernés. Il peut s’agir d’accessoires automobiles ou d’accessoires de la maison (stores, réfrigérateur, télévision, thermostat intelligent, etc.). On ne doit pas non plus faire abstraction des drones et autres équipements médicaux tels que pacemakers ou autres. Aujourd’hui, 6,4 milliards d’appareils sont ou vont être connectés à Internet. Et si ça se passait mal? Si des pirates pouvaient avoir accès au données personnelles collectées par ces terminaux? Et même si les GAFAM (Google-Amazon-Facebook-Apple-Microsoft) récupéraient ces données et les revendaient? Et même si des cyber-criminels prenaient le contrôle de ces objets connectés? Alors, que pourrait-il advenir?

Une menace claire et omni-présente

Vous vous dites peut-être que c’est juste de la science-fiction. Et pourtant, il serait insensé de penser que les thermostats intelligents connectés à Internet ou d’autres appareils intelligents ne posent pas de problème de sécurité pour les organisations. Lors du développement d’objets connectés (IoT), l’absence de réflexion en matière de sécurité a entraîné un risque considérable pour les réseaux d’entreprises.

Selon Kaspersky Labs, 85 000 raisons très claires sont prises en compte lorsque l’on considère le coût moyen d’une attaque par déni de service distribué (DDoS) pour l’entreprise. En octobre 2016 déjà, de larges pans de l’internet sont devenus indisponibles en Europe et en Amérique du Nord. Amazon, PayPal, Netflix, Airbnb, Twitter et Visa ont figuré parmi les grands noms qui ont subi des perturbations. La cause? Une attaque DDoS contre le fournisseur Dyn. La vraie cause? Mirai.

Mirai est un logiciel malveillant qui transforme des ordinateurs utilisant le système d’exploitation Linux en bots contrôlés à distance. Ils forment alors un botnet (réseau de bots) utilisé notamment pour réaliser des attaques à grande échelle sur les réseaux. Mirai s’attaque principalement à des dispositifs grand public tels que des caméras pilotables à distance ou encore des routeurs pour la maison. En gros, il force brutalement les appareils IoT, bien que peu de force soit généralement nécessaire, à cause de mesures de sécurité rares (voire nulles). Suite à l’attaque de 2016, le botnet qui en a résulté était composé d’environ 150 000 caméras IP, de routeurs domestiques et même de moniteurs pour bébé.

Des failles de sécurité pour le moins surprenantes

La plupart des fabricants d’objets connectés (IoT) ne placent pas la sécurité au centre des préoccupations de conception. Le plus souvent , de nombreux fournisseurs et l’industrie technologique font alors porter la faute sur les utilisateurs. Il les accusent de n’avoir pas déployé suffisamment d’efforts pour sécuriser les appareils en modifiant les mots de passe par défaut. Et de leur côté, il arrive même que les fabricants fassent des erreurs majeures de sécurité. Ainsi, certains vont jusqu’à coder en dur des mots de passe faciles à deviner dans leurs appareils. C’est le monde à l’envers. Toutes les bonnes pratiques sont bafouées pour des raisons de coût essentiellement. La conséquence c’est que les cyber-risques explosent.

Des responsabilités claires des fabricants

Certes, les utilisateurs ne modifient pas toujours les mots de passe par défaut pour les rendre plus difficiles à deviner. Cela, les fabricants le savent. Alors pourquoi ne proposent-ils pas un mot de passe par défaut unique, difficile à pirater?

On peut toujours facilement reprocher aux utilisateurs de ne pas mettre à jour les systèmes avec les derniers correctifs. Mais, dans la réalité, ces mises à jour fournies par les fabricants d’objets connectés ne sont pas très fréquentes. Et elles n’arrivent généralement qu’après qu’un périphérique ait déjà été piraté. Ils sont en mode réactif et quasiment jamais en mode proactif.

Les dispositifs IoT sont conçus pour être faciles à utiliser. Ce sont aussi, souvent, des appareils destinés à être vendus à un prix attractif. La question du coût de réalisation devient donc un facteur primordial pour les fabricants. Or les compétences en sécurité sont relativement rares sur le marché et, par conséquent, relativement chères. Aussi, très souvent, la sécurité est développée par des techniciens n’ayant pas les compétences suffisantes en matière de sécurité. Au lieu de cela, il faudrait que les fabricants d’objets connectés fassent développer leurs appareils par des spécialistes de la sécurité possédant, en plus, des compétences de développement et ayant une parfaite compréhension des conséquences d’une protection insuffisante. Pas l’inverse!!

Des réglementations insuffisantes

En outre, l’industrie de l’internet des objets n’est, à ce jour, ni normalisée ni réglementée. La conséquence est une anarchie complète pour les utilisateurs finaux. Cela pourrait changer si le gouvernement tentait d’inciter les fabricants d’appareils IoT à adopter une approche de la protection de la vie privée dès la conception (Protection by Design). Les gouvernements pourraient chercher à légiférer si les fabricants d’appareils IoT n’écoutent pas les conseils. Il y a bien sûr une tentative d’évolution dans ce sens avec le RGPD. Malheureusement c’est encore insuffisant pour faire bouger les lignes au niveau des objets connectés..

L’évolution de la surface d’attaque des entreprises

Il est clair que quelque chose ne va pas dans le monde de la technologie lorsque vos utilisateurs deviennent le périmètre du réseau, étant donné le rôle qui consiste à empêcher les menaces de s’infiltrer davantage dans le réseau.

Les appareils IoT ouvrent le réseau à un éventail de risques beaucoup plus large. Ils servent de points de terminaison à sécuriser, tout en diluant les ressources assignées pour la définition classique et traditionnelle de la protection contre les menaces.

La bascule intelligente

Étant donné ce que vous ne pouvez pas faire pour empêcher la compromission des périphériques IoT, quel est le revers de la médaille? Il ne s’agit pas d’un exercice de «longueur de chaîne» comme le suggère la variété presque infinie d’appareils dont nous parlons. D’ailleurs, cette accusation de conception par des « comptables » que nous avons formulée plus tôt va, en fait déjà, commencer à tomber, dès que les vendeurs verront une opportunité du marché de fournir des produits plus sécurisés.

Attendez-vous à ce que la segmentation du réseau et l’authentification entre périphériques (si aucun cryptage de données suffisamment puissant n’est possible) figure parmi les priorités dans les listes de fonctionnalités des objets connectés.

Gardons un oeil sur le futur

Quoi que l’avenir nous apporte, vous ne devez pas perdre de vue ces objets connectés (IoT), ni même leur emplacement. Vous devez absolument savoir quels appareils vous avez, avec quoi ils se connectent et comment ils le font. Tenir un inventaire détaillé des vos actifs informationnels fait partie des bonnes pratiques de sécurité de l’information. Cependant on oublie souvent ces appareils dans la liste des actifs informationnels.

La visibilité est essentielle pour sécuriser l’IoT dans la mesure où votre entreprise est concernée. Ces points de d’accès sont les endroits où les attaquants rechercheront des vulnérabilités pour essayer de franchir le fossé entre les équipements et l’infrastructure de votre entreprise.

 

Cyber-escroqueries : ne vous faites pas piéger!

Quand il s’agit de vous protéger, vous et votre entreprise, contre les cyber-escroqueries, il n’existe pas de solution «universelle». Les entreprises et les particuliers continuent d’adopter de nouveaux appareils et de nouvelles technologies. Ils s’exposent donc en permanence à de nouvelles possibilités en matière de cyber-attaques.Afin de protéger efficacement les précieuses informations qui motivent les cybercriminels, il est important de mieux comprendre les différents types d’escroqueries qui nous ciblent.

Cyber-escroqueries - Evitez les pièges
Crédit © rawpixel.com 2018

Le top 5 des cyber-escroqueries les plus courantes

Les cybercriminels recourent à une grande variété de tactiques frauduleuses pour accéder à un appareil ou à un réseau. Leur objectif est toujours le même :  extorquer de l’argent ou voler des informations précieuses. Il est essentiels de comprendre les menaces et savoir comment vous en protéger, ainsi que votre entreprise. Cependant,  connaître les différentes manières dont ils exploitent les tactiques d’ingénierie sociale pour tromper les utilisateurs peut s’avérer assez complexe.

Toutefois, grâce à des règles simples, les utilisateurs peuvent minimiser l’impact des cyber-escroqueries. Nous vous proposons ici le top 5 des tactiques que les pirates utilisent cibler les utilisateurs.

1 – Les escroqueries par hameçonnage (phishing)

Les attaques par hameçonnage sont très courantes. On les retrouve très souvent dans les réseaux d’entreprise et les réseaux personnels. Elles se produisent lorsqu’un criminel envoie une communication à sa cible. Il peut s’agir d’un courrier électronique, d’un appel téléphonique, d’un SMS, etc.. Le pirate se fait passer pour quelqu’un d’autre afin d’extraire ou d’accéder à des informations d’identification. Ce sont généralement des données personnelles ou des informations financières concernant la personne ciblée. Il peut aussi s’agir d’informations sensibles liées à l’organisation pour laquelle la personne travaille. De plus, notons que 59% des  infections réussies par ransomware sont véhiculées via l’hameçonnage.

Voici quelques éléments à prendre en compte pour vous aider à mieux reconnaître un mail d’hameçonnage. Vous pouvez aussi vous reporter à mon article détaillé publié sur ce blog.

Vérifiez les noms des contacts

Faites preuve de prudence si vous recevez des communications d’une source inconnue qui vous demande une action, par exemple en fournissant des informations personnelles ou en vous connectant à un site via un lien. Quasiment aucune entreprise ne vous demandera jamais des informations personnelles par courrier électronique ou SMS. Lorsque quelqu’un le fait, cela doit être considéré comme un signal d’alarme. Cela indique probablement que vos interlocuteurs ne sont pas ceux qu’ils prétendent être. Vérifiez alors leur adresse électronique ou leur numéro de téléphone. Comparez-les avec ceux de la personne ou de l’organisation à laquelle ils prétendent être associés. Vous pourrez ainsi facilement détecter les incohérences.

Recherchez les fautes d’orthographe et de grammaire

Les organisations professionnelles prennent le temps de lire leurs courriers avant de les envoyer. Il en va de leur image. Souvent, les cybercriminels ne le font pas (encore qu’ils s’améliorent de jour en jour…). Si vous recevez un message provenant d’une source supposée fiable, comprenant des fautes de frappe, une erreur de grammaire ou une mauvaise ponctuation, il y a de fortes chances pour qu’il s’agisse d’une cyber-escroquerie.

Recherchez un comportement agressif

Si l’objet et le langage d’un message sont trop agressifs, il s’agit probablement d’une cyber-escroquerie. Peut-être avez-vous déjà vu un courrier électronique dans votre dossier SPAM comportant un sujet semblable à : « Urgent! Votre compte est épuisé depuis x jours. Contactez-nous IMMÉDIATEMENT ». Le but ici est de vous mettre mal à l’aise, de vous affoler et de vous inciter  à faire ce que les criminels vous demandent. Au lieu de cela, contactez la partie qu’ils prétendent représenter avant de prendre des mesures immédiates.

2 – Le harponnage ou attaque ciblée (spear phishing)

Le spear phishing aussi appelé Harponnage, arnaque au président ou BEC (Business email compromise) est la forme la plus sophistiquée d’attaque par email. Il s’agit d’un email envoyé par un par un cyber-criminel à une seule victime. Ce message  est composé le plus souvent uniquement de texte sans lien ni pièce jointe. Une attaque « classique » de spear phishing démarre généralement par un échange d’emails avec la cible afin de gagner sa confiance. Pour ce faire, le pirate usurpe l’identité d‘une personne appartenant au réseau de sa victime (employé, famille, fournisseur…).  Il démarre l’échange avec un sujet cohérent. Le pirate a donc au préalable bien étudié sa cible et son réseau, grâce aux données accessibles légalement sur Internet. Il utilise notamment les réseaux sociaux, (LinkedIn, Twitter, Facebook…) et les médias. Cette forme d’attaque garantit le taux de réussite le plus élevé et en fait la menace la plus dangereuse.

Voici quelques façons de déjouer ce type d’arnaque.

Utilisez un service de vérification du courrier électronique

La vérification du courrier électronique consiste à valider la source des emails que vous recevez pour vérifier si les identités du domaine de gestion administrative correspondent ou non à l’adresse de messagerie utilisée.

Faites preuve de discrétion lorsque vous transmettez des informations

Cela semble tellement simple. Si les utilisateurs ne communiquaient pas volontairement leurs informations à de mauvais acteurs, le harponnage ne constituerait pas une arnaque aussi efficace.

Maintenez une bonne hygiène de sécurité

En appliquant des règles de base de cyber-hygiène, vous bloquerez de nombreux vecteurs d’attaque courants. La mise en œuvre d’habitudes simples et quotidiennes peut contribuer dans une large mesure à empêcher les cyber-criminels de réussir à compromettre un appareil ou un réseau.

3 – L’escroquerie à l’appât (baiting spam)

Ce type de cyber-escroquerie ont pour but d’inciter les utilisateurs non avertis à effectuer certaines actions, telles que le téléchargement d’un virus ou la saisie d’informations personnelles en échange d’appâts. On utilise souvent des appâts physiques. Il peut s’agir d’une clé USB, intitulée «Informations sur les salaires de l’entreprise», laissée à la victime pour qu’elle le trouve. Elle le connectera alors à sa machine. Même si ce type d’escroquerie peut prendre de nombreuses formes, l’objectif final est toujours le même: inciter les utilisateurs à installer quelque chose de malveillant.

Pour vous protéger et protéger votre organisation, prêtez attention à ces quelques indices communs.

Évitez les offres « gratuites »

Comme le dit l’adage, «si cela semble trop beau pour être vrai, il y a de fortes chances pour que ce soit le cas». De nombreux cyber-criminels tenteront d’attirer les victimes en leur promettant des téléchargements gratuits, la livraison gratuite, des abonnements gratuits, etc. Assurez-vous donc non seulement de vérifier la source et de lire les petits caractères de tous les accords, mais également de vérifier l’organisation qui vous fait ces offres alléchantes.

Évitez les clés USB, les lecteurs flash externes ou les disques durs inconnus

L’appâtage peut être effectué numériquement ou avec des disques physiques qui installent des logiciels malveillants. Assurez-vous donc de connaître le propriétaire du lecteur avant de le connecter à votre ordinateur.

4 – L’arnaque au support technique

Sur l’année 2017 seulement, le FBI aurait reçu environ 11 000 plaintes concernant des fraudes liées à l’assistance technique. Cela aurait coûté 15 millions de dollars au total. Comme leur nom l’indique, les cyber-criminels se font passer pour des employés du support technique. Ils prétendent travailler pour l’organisation de leur victime ou pour un service indépendant. Leur but est d’avoir accès aux informations personnelles de leur cible. Comme pour les autres cyber-escroqueries énumérées ici, le succès ou l’échec dépend de la victime qui subit une attaque d’ingénierie sociale.

Dans cet esprit, il est important de surveiller certains des drapeaux rouges révélateurs.

Recherchez les messages non sollicités

Rarement, le support technique vous contactera pour vous proposer de réparer votre ordinateur. Les développeurs de logiciels et de matériel informatique ne font jamais le suivi de leurs solutions. Ils n’appellent jamais pour offrir une assistance en matière de sécurité. Si un membre du personnel d’assistance technique ou une entreprise vous contacte via une annonce contextuelle, un e-mail ou un appel téléphonique non sollicité (e) ou via les médias sociaux, il s’agit probablement d’une arnaque. Les entreprises légitimes ont mis en place des processus pour mettre à jour vos produits et services, tels que des correctifs et des mises à jour publiés, ou des moyens de résoudre les problèmes directement intégrés à la solution elle-même.

Évitez d’installer quoi que ce soit à partir d’une source inconnue

A moins que cela ne provienne directement d’une source en laquelle vous avez confiance, tout téléchargement à partir du Web comporte le risque inhérent d’infecter votre ordinateur. Comme pour les escroqueries à l’appât, les cyber-criminels tentent souvent de proposer des «analyses de sécurité gratuites» ou des «nettoyages d’ordinateur», qui infectent ensuite l’ordinateur de la victime avec des logiciels malveillants.

Repérez les acteurs qui souhaitent un accès à distance à votre appareil

L’accès à distance permet à de véritables équipes de support technique de «prendre en charge» une machine à distance afin de la réparer. Cependant, la même technologie peut être utilisée par des cyber-criminels pour accéder rapidement à des informations personnelles en dehors de votre appareil. Si une source inconnue vous demande d’accéder à votre appareil, refusez!

5 – Piratage des appareils mobiles

Les appareils mobiles sont également de plus en plus ciblés par des arnaques criminelles. Les fausses applications utilisées pour extraire des données ou des ransomwares sont largement disponibles, en particulier pour les systèmes d’exploitation Android.

Respecter ces quelques conseils pourra vous éviter de graves désagréments.

Évitez les programmes malveillants se faisant passer pour des applications et des mises à jour légitimes

Un nombre croissant d’applications factices sont disponibles dans des magasins d’applications en ligne (par exemple, Apkmonk). En outre, les add-ons et les mises à jour qui exploitent les applications et les périphériques ne manquent pas (tels que les logiciels malveillants de cryptojacking). Méfiez-vous également des applications demandant des autorisations inutiles (droits d’administrateur du périphérique, codes envoyés par SMS, etc.).

Utiliser le WiFi sécurisé

Méfiez-vous du WiFi gratuit. Les espaces publics et les magasins offrant une connexion Wi-Fi gratuite sont des lieux courants d’attaques de type «homme du milieu».  Les cyber-criminels proposent souvent la disponibilité des services Wi-Fi puis les utilisent pour capturer des données. Lorsque vous utilisez le WiFi public, utilisez des connexions VPN et évitez les transactions sensibles. De nombreuses applications mobiles étant également programmées pour se connecter automatiquement à des connexions connues, les cybercriminels utilisent souvent des SSID WiFi tels que «Réseau domestique» pour inciter les périphériques à se connecter automatiquement sans aucune intervention de l’utilisateur.

Quelques précautions pour éviter d’être victime des cyber-criminels

Les cyber-escroqueries peuvent toucher quiconque n’est pas au courant des signes précurseurs. Au fur et à mesure que les utilisateurs adoptent de plus en plus d’appareils qui se connectent à un réseau, le risque d’être victime d’une arnaque ne fait qu’augmenter. En prenant conscience des cyber-escroqueries communes ciblant les personnes, ainsi que des moyens de reconnaître les signes avant-coureurs de ces escroqueries, vous pouvez protéger vos informations personnelles et les informations des réseaux auxquels vous vous connectez.

 

Facebook piraté : un problème de cyber-hygiène

Facebook vient, encore une fois, de se faire pirater. Entre 50 millions et 90 millions de comptes pourraient avoir été accédés. Rien de vraiment surprenant à cela. Inutile de jeter la pierre aux géants du web. Malgré toutes les mesures de cybersécurité qui sont prises, les hackers mènent toujours le jeu. Alors que pouvons-nous faire, chacun à notre niveau? Juste adopter quelques règles de cyber-hygiène de base.

Cybersécurité - Facebook piraté : un problème de cyber-hygiène de base
Crédit © JOEL SAGET / AFP/GETTY IMAGES

Cet incident est loin d’être le premier. Et encore, il est très probable que nous ne voyons que la face émergée de l’iceberg. Il faut donc de façon urgente revoir notre comportement sur internet. Il s’agit là d’une question de cyber-hygiène dont chacun d’entre nous doit s’emparer. Nous ne devons pas attendre des fournisseurs de services qu’ils nous protègent. C’est le rôle des états qui édictent régulièrement des lois et des réglementations à cet effet. Mais les premiers responsables, ce sont les utilisateurs. En ce début du mois de la cybersécurité, il se trouve justement que le thème central de la première semaine est «Appliquer une cyber-hygiène de base».

Cyber-hygiène: de quoi s’agit-il?

C’est vrai que le mot en lui-même n’est pas très sexy! Mais il représente exactement ce qu’il décrit.

La cyber-hygiène est souvent comparée à l’hygiène personnelle. Tout comme une personne qui applique certaines pratiques d’hygiène personnelle pour maintenir sa santé et son bien-être, les pratiques de cyber-hygiène permettent de garder les données en toute sécurité et bien protégées. Cela aide à maintenir des terminaux (téléphones, tablettes, micro-ordinateurs) fonctionnant correctement en les protégeant contre les attaques extérieures, telles que les logiciels malveillants, qui peuvent entraver leurs fonctionnalités.

La Cyber-hygiène fait donc référence aux pratiques et aux précautions prises par les utilisateurs dans le but de garder leurs données sensibles organisées, en sûreté et à l’abri des attaques venant de l’intérieur et de l’extérieur.

Selon l’ANSSI, la cyber-hygiène est un moyen de garantir une protection et une maintenance adéquates des terminaux et systèmes informatiques, et de mettre en œuvre les meilleures pratiques en matière de cybersécurité.

Règles élémentaires de cybersécurité en entreprise

Une bonne cyber-hygiène n’est pas la panacée universelle et ne sera pas suffisante pour vous protéger en toutes circonstances. Cependant, elle permettra de diminuer les risques liés à la connexion internet. Dans votre Organisation, ll est important que toute personne en contact avec votre réseau, du DG au simple stagiaire, suive ces quelques conseils élémentaires.

10 bonnes pratiques de base

  1. Au niveau de l’Entreprise, tenir un inventaire, à jour, du matériel et des logiciels s’exécutant sur le réseau de l’entreprise.
  2. Développer un processus d’installation des logiciels sur leur poste par les utilisateurs. Il peut, par exemple, limiter l’installation des logiciels approuvés. Il peut aussi interdire et bloquer toute installation non explicitement autorisée par leur management et/ou le TI..
  3. Sensibiliser les utilisateurs aux bonnes pratiques de cybersécurité (gestion des mots de passe, identification des attaques d’hameçonnage potentielles, terminaux autorisés à se connecter au réseau, etc.). Tous les utilisateurs sont concernés. Cela ne s’adresse pas exclusivement aux personnels du département informatique comme on le croit souvent. Cela ne se limite pas non plus aux salariés. N’oubliez pas d’inclure les consultants ayant accès au réseau de votre Organisation.
  4. Identifier les logiciels vulnérables inutilisés et les désactiver en urgence. Il constituent des vulnérabilités importantes pour votre réseau et sont autant de failles potentielles.
  5. Effectuer des sauvegardes régulières des données et en conserver plusieurs copies. Vous pouvez envisager d’utiliser une solution sécurisée dans le Cloud et sur site. En cas de sauvegardes physique, les conserver dans un endroit sécurisé.
  6. Adopter des configurations / normes sécurisées reconnues par le secteur. On peut, par exemple s’appuyer sur celle fournie par l’ANSSI. Cette méthode peut aider les entreprises à définir des paramètres tels que la longueur des mots de passe, le chiffrement, l’accès aux ports et la double authentification.
  7. Appliquer régulièrement et sans délai les correctifs à toutes les applications. Les systèmes non à jour des correctifs représentent l’un des principaux facteurs de risque d’attaque. Les pirates utilisent de plus en plus ces correctifs pour identifier les vulnérabilités et les utilisent à loisir.
  8. Créer des mots de passe complexes. Veiller à ce que la complexité n’entraîne pas de mauvaises pratiques comme par exemple l’écriture du mot de passe sur un post-it collé sous le clavier.
  9. Limiter le nombre d’utilisateurs dotés de privilèges administratifs.
  10. Mettre à niveau les infrastructures et systèmes vieillissants. L’obsolescence des systèmes constitue un risque majeur de sécurité.

Prendre en compte le facteur humain

Même avec la meilleure protection du monde, le risque pour votre entreprise de figurer sur la liste des prochaines victimes d’attaques au rançongiciel, de violations de données et autres menaces de cybersécurité ne sera jamais écarté. C’est pourquoi il est si important de limiter le facteur humain en automatisant autant que possible les pratiques de sécurité.

Les possibilités sont L’utilisation de la double authentification avec mots de passe complexes, le blocage de certains types de fichiers et le test des connaissances des utilisateurs en matière de sécurité sont des mesures que toutes les entreprises peuvent prendre pour protéger les réseaux diversifiés actuels.

La mise en œuvre de ces étapes, aussi simples soient-elles, peut cependant poser problème aux entreprises en manque de professionnels de la cybersécurité. Il est donc utile de recourir à des outils, tels que l’apprentissage machine, capables d’anticiper et de neutraliser les comportements malveillants à votre place.

Règles élémentaires de cyber-hygiène pour les individus

Face la faille apparue sur Facebook, d’une ampleur inédite pour le réseau social américain, les utilisateurs disposent de plusieurs moyens pour tenter de protéger leur vie privée. Voici quelques bonnes pratiques à mettre en œuvre.

Adopter l’authentification à deux facteurs

Pour sécuriser leurs services, tous les grands sites Web mettent à disposition une fonction de double authentification. Celle de Facebook est accessible à cette adresse. Elle consiste à demander à l’utilisateur un second élément, en plus de son mot de passe. Dans la plupart des cas, il s’agit d’un code reçu par SMS sur son smartphone. Facebook considère alors que seul l’utilisateur est susceptible d’avoir accès à son smartphone.

L’opération implique de communiquer son numéro de téléphone au fournisseur de services. Bien sûr, dans le cas de Facebook, celui-ci l’utilise également à des fins publicitaires. Le réseau social propose une autre solution: faire appel à une application tierce (comme Duo ou Google Authenticator) pour envoyer ce second code. Notons qu’à priori,  le piratage révélé par Facebook ne semble pas compromis les mots de passe des utilisateurs. Du mois, jusqu’à plus ample informé…

Vérifier la liste des appareils connectés

Smartphones, tablettes, ordinateurs, objets connectés: nos moyens d’accéder aux réseaux sociaux se multiplient. Avec le temps, nous avons donc de plus en plus d’appareils connectés à notre compte. Il est important de vérifier régulièrement la liste des machines qui y ont accès. Accessible dans la catégorie “Sécurité” des paramètres, elle permet de vérifier qu’un appareil suspect ne soit pas dans la liste.

Au besoin, il est possible de déconnecter automatiquement l’ensemble des machines liées à notre compte. Sur la page “Sécurité et connexion”, Facebook propose de recevoir des alertes en cas de connexion depuis un appareil suspect. Ces alertes peuvent vous être envoyées directement sur le compte Facebook ou par email.

Limiter la quantité de données personnelles offertes à Facebook

Malgré ces précautions, la faille révélée de 28 septembre démontre une fois de plus qu’aucune précaution n’est infaillible. Il est donc plus que jamais préférable de limiter au maximum les données que l’on partage avec les réseaux sociaux. Su Facebook, il est possible de supprimer toutes les informations qui ne sont pas indispensables (ville de naissance, établissement scolaire fréquenté etc.). Une page est par ailleurs prévue pour gérer ses préférences publicitaires. Elle permet de supprimer l’ensemble de ses centres d’intérêts répertoriés ou encore de mettre un frein au partage de données avec les partenaires extérieurs de Facebook.

Cybersécurité : la résilience, chaînon manquant de votre stratégie

A l’heure de la transformation numérique des organisations, la stratégie de cybersécurité est un sujet sur toutes les lèvres. Dans le même temps, on n’entend quasiment jamais prononcer le mot résilience. Pourtant, la résilience devrait être le pilier majeur de toute stratégie de réduction des risques. Essayons donc de décrypter les raisons de cette anomalie et d’en identifier les risques.

Résilience, le chaînon manquant de votre stratégie de cybersécurité
Crédit © rawpixel.com 2018

Et tout d’abord, il convient de situer la cyber-résilience par rapport à la cybersécurité. Dans les deux cas, il s’agit de répondre aux cyber-risques. Un risque se caractérise par une probabilité de survenance et par un impact (sous forme de conséquences) lors de la réalisation du risque. Dans tous les cas, la stratégie des risques a pour objet d’aligner le niveau des risques au seuil de tolérance de l’Organisation. Cela se fait en mixant la réduction de la probabilité et de l’impact. Bien sûr, la stratégie des risques couvre tous les risques de l’Entreprise et parmi ceux-ci, on aura les cyber-risques.

La réduction de la probabilité de survenance des évènements de sécurité sera essentiellement réalisée grâce à des mesures se situant en amont. On parlera de mesures préventives. On est là dans le domaine de la sécurité. Les mesures de sécurité sont essentiellement de 3 types :

  • préventives
  • de détection (pour détecter l’incident lorsqu’il se produit),
  • correctives pour corriger le système et revenir à une situation acceptable (incluant l’activation d’un plan de continuité ou PCA).

A côté de ces aspects, se pose le problème de la réduction de l’impact et de l’après-crise. Il s’agit donc de répondre à la question « comment pouvons-nous survivre si un tel incident se produit? ». En d’autres termes il s’agit de planifier ce qu’il convient de faire pour réduire les impacts lorsqu’un incident se sera produit. On est là dans le domaine de la résilience.

L’expérience de l’année écoulée

Il y a tout juste un an, l’été 2017 a montré très concrètement à quoi pouvait ressembler des cyber-attaques mondiales. Ce fut le cas notamment avec NotPetya. Un an plus tard, les conséquences du « ransomworm » ne sont toujours pas complètement terminées. Le groupe Merck a annoncé fin novembre 2017 que cette cybe-rattaque lui coûterait environ 600 millions de dollars sur l’exercice 2017 ! Mais, en additionnant les dernières annonces, le seuil des 2 milliards de perte est clairement plus réaliste. C’est la première fois qu’un tel impact est recensé pour un incident cyber. Ce changement de dimension mobilise aujourd’hui enfin les directions générales et les conseils d’administration. Et ce n’est pas trop tôt! Ils sont maintenant demandeurs de moyens pour limiter les impacts de telles attaques. Mais ils sont aussi en attente sur la posture à adopter lorsqu’un cas réel se présentera.

Les mesures préventives de cybersécurité ne suffisent clairement plus à empêcher les cyber-risques de se réaliser. Il est désormais évident que la technologie n’est pas le rempart infranchissable que tout le monde imaginait. La cyber-criminalité est devenue une véritable industrie qui progresse plus rapidement que les moyens de protection ne se développent.

Cyber-résilience : les actions clés

Une cyber-attaque majeure peut être destructive ou entraîner une perte de confiance dans les systèmes clés. Le premier réflexe pour une majorité d’entreprises est alors d’activer le plan de continuité d’activité (PCA). Celui-ci constitue un élément majeur de la stratégie de résilience des organisations. L’objectif est d’assurer la survie de l’organisation lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ses actifs clés. Il peut s’agir de moyens informatiques, d’infrastructures de communication ou d’immeubles voire de collaborateurs.

Or les cyber-attaques majeures, destructives comme Wannacry ou NotPetya, ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) telles que les attaques ciblées en profondeur, ne sont pas prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers sont focalisés sur un enjeu de disponibilité. Ils n’appréhendent pas les problématiques de destruction simultanée et de perte de confiance dans le SI induites par les cyber-attaques.

En effet, les dispositifs de continuité du SI sont plus souvent liés aux ressources qu’ils protègent. Ils sont donc également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud ». Le double objectif de cette approche est à la fois de répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. Mais, de fait, le lien entre le SI nominal et son secours rend les dispositifs de continuité vulnérables aux cyber-attaques.

Des dispositifs de continuité vulnérables

À titre d’exemple, suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée dans le cadre d’une gestion de crise. Malheureusement ceux-ci partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Ils donc avaient été logiquement détruits de la même manière que les sites nominaux. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé, à ce moment, très vains.

Enfin il reste les sauvegardes comme dernier rempart. Etablies sur une base souvent quotidienne ou hebdomadaire, elles constituent, pour la plupart des organisations, le dispositif de dernier recours pour reconstruire le SI.

Dorénavant, il n’est pas rare de faire face à une intrusion qui date de plusieurs mois. Bien que la  détection soit récente, dans ce cas, les sauvegardes embarquent de fait les éléments malveillants. Il peut s’agir de malwares par exemple, mais aussi de modifications déjà opérées par les attaquants.

De plus, la continuité en tant que telle des systèmes de sauvegarde est bien souvent négligée. Lors de plusieurs cas de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes avaient eux-mêmes été détruits. Les restaurer a souvent nécessité plusieurs jours vu leur complexité et leur imbrication dans le SI.

S’agissant des SI industriels, les constats sont tout aussi alarmants. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ils ne disposent souvent pas de mécanismes de sécurité avancés. La longueur de leur cycle de vie (souvent plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités anciennes. Enfin l’indépendance des chaînes de contrôle  vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours respectée.

Des leçons tirées de l’expérience

Il s’avère que lors du déroulement d’une crise, le cycle est souvent identique. Les écueils rencontrés sont quasiment toujours les mêmes. Il convient donc de tirer les leçons de cette expérience.

Gestion de crise en cas de cyber-attaques : les écueils rencontrés
Crédit © Wavestone 2017

Des scénarios d’attaques récurrents

Destruction massive ou indisponibilité d’une grande partie du SI

Ce type de cyber-attaques, concrétisé au travers des cas Wannacry et NotPetya, entraîne généralement une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par des attaques de ce type (parmi lesquelles Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h.

La situation au démarrage de la crise est alors très difficile. En effet, il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes atteignant plusieurs centaines de millions d’euros suite à ces attaques.

Compromission et perte de confiance dans le SI

Il s’agit d’attaques ciblées ne remettant pas en cause le bon fonctionnement du système. Elles visent par contre à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…). Elles leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi atteindre tout type de données ou réaliser des actions métiers nécessitant plusieurs validations successives.

Ces cyber-attaques ont touché de très nombreuses entreprises dans tous les secteurs. Les conséquences sont souvent des fraudes massives, comme celles ayant touché la banque du Bangladesh. Il peut aussi s’agir de vols de données financières et de paiements. Ce fut le cas de celles ayant touché plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot.

La situation au démarrage de ce type de cyber-crise est extrêmement complexe. La raison réside dans la conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il faut alors investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes de ces attaques ont également fait état d’impacts financiers atteignant plusieurs centaines de millions d’euros.

La résilience passe par une bonne gestion de crise

Les crises cyber sont des crises très particulières. Elles sont souvent longues (plusieurs semaines). Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc indispensable d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer cette dimension particulière.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense. Cela se ferait au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agit donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction du plan de défense.

Au-delà de l’aspect organisationnel, il faut s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs, isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La rédaction d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faudra faire face à la crise, la réalisation d’exercices de crise sera un bon révélateur de la situation réelle.

Les dispositifs de continuité doivent être repensés

Des solutions les plus simples…

Les dispositifs de continuité doivent également évoluer pour s’adapter aux cyber-menaces. Les solutions possibles sont nombreuses. Elles peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certaines organisations ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les installer rapidement en cas de destruction physique.

A des solutions très complexes et coûteuses…

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyber-attaques. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir. Elle est envisagée pour certaines applications critiques dans le monde de la finance notamment.

A des solutions intermédiaires mais suffisantes

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative. Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Cyber-résilience et cybersécurité doivent être imbriqués

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager  — ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) — sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle.

Il est très clair que la résilience est un pilier majeur de votre stratégie de cybersécurité. A ce titre il convient de l’y intégrer dès la conception. Mais il vous appartient également de convaincre votre conseil d’administration de la réalité des cyber-risques et de la nécessité de la mise en oeuvre de mesures de résilience.

Comment s’y prendre concrètement?

Nous ne le répétons, jamais assez, mais deux bonnes pratiques de base sont absolument nécessaires.

Inutile de réinventer la roue : appuyez-vous sur ce qui existe

Il serait vain de partir d’une feuille blanche. Inspirez-vous des bonnes pratiques du marché. A cet effet, AXELOS a publié une référentiel de bonnes pratiques en matière de résilience des SI : RESILIA. Complémentaires d’ITIL, ces bonnes pratiques vous aideront à compléter vos processus existants afin d’y incorporer la planification de la résilience de votre SI

Faite monter vos collaborateurs en compétence, formez-les

La réponse aux cyber-attaques nécessite une préparation minutieuse et du personnel formé et efficace. A cet effet, 2AB & Associates vous propose des formations sur RESILIA (RESILIA Foundation et RESILIA Practitioner) ainsi que des formations sur la continuité des activités (Business Continuity Foundation et ISO 22301 Lead Implementer). Nous vous proposons également une formation indispensable pour mieux évaluer et planifier la réponse aux cyber-risques : ISO 27005 Risk Manager.

Et bien sûr, nos experts sont à votre disposition pour répondre à vos commentaires.

Transformation numérique : les conseils d’administration sont-ils prêts?

Les conseils d’administration (CA) devraient être impliqués dans la direction et le leadership de la transformation numérique de leur organisation, en prenant en considération les scénarios de risque non négligeables associés à cette mutation.

Transformation numérique : les conseils d'administration sont-ils prêts
Crédit © image par rawpixel.com

Le rôle du Conseil d’Administration de toute organisation est de s’assurer pour le compte des parties prenantes de l’Entreprise, de la création de valeur sous forme de bénéfices, tout en optimisant les risques et les ressources. Selon COBIT, le référentiel de Gouvernance publié par l’ISACA, cela passe par trois phases. La première consiste à évaluer les besoins de chacune des parties prenantes. La seconde est de prendre une décision en terme de direction à suivre par le management. Enfin, la troisième étape consiste à surveiller la performance et le progrès réalisé par l’Organisation dans la direction donnée.


«Les conseils d’administration jouent un rôle essentiel dans le processus de transformation numérique en apportant expertise, jugement, scepticisme sain et souci de la valeur à long terme.» (Deloitte)


Malheureusement les conseils d’administration ne sont pas encore prêts à superviser les technologies de l’information.  Ils le sont donc d’autant moins en ce qui concerne la transformation numérique de leur Organisation. En effet, non seulement «plus de 80% des CA pourraient ne pas avoir les compétences et les connaissances nécessaires pour gérer efficacement la technologie des entreprises et réaliser des gains stratégiques et des rendements financiers au niveau de l’entreprise» mais, de plus, les cadres mondiaux de gouvernance d’entreprise (COSO par exemple) ne font encore aucune référence significative au leadership numérique du CA.

La transformation numérique a cependant des impacts extrêmement importants sur le fonctionnement des Organisations. Le degré de focalisation requis pour garantir que la transformation numérique se concrétise comme prévu est donc très  élevé. Quels sont les problèmes à surmonter dans la structure des conseils d’administration si les organisations qu’ils supervisent doivent être durables dans le cadre de la transformation digitale actuelle? Les comités stratégiques IT du CA constituent un moyen clé de mieux superviser et contrôler la transformation numérique.

La gouvernance du SI a encore trop de mal à trouver sa place

Selon une étude du Gartner, jusqu’à 85% des projets en technologies de l’information échouent. Les défaillances informatiques détruisent la valeur pour les actionnaires en gaspillant des ressources. Ces défaillances font échouer des opportunités business et détruisent ainsi la valeur que les services informatiques auraient pu créer. Il ne fait aucun doute que ce taux d’échec continuera, voire augmentera, pour les initiatives de transformation numérique.

Une évolution dans le bon sens depuis dix ans

Le besoin de conseils d’administration ayant des compétences en technologies de l’information s’impose de plus en plus au niveau mondial. Cela leur permet d’atténuer les risques d’échec technologiques. C’est tout particulièrement important lorsque le succès stratégique et la pérennité de l’entreprise dépendent de la réussite de son informatique. La figure suivante illustre l’évolution de la gouvernance du SI ces dernières années.

L'évolution de la gouvernance du SI depuis 10 ans
Crédit © 2018 ISACA

L’exception chez les « gaulois réfractaires »

Cette gouvernance formelle du SI se matérialise de plus en plus par un comité stratégique informatique. C’est une préconisation phare de COBIT, le cadre de Gouvernance du SI publié par l’ISACA en 2012. C’est également une tendance forte dans les très grandes organisations qui ont souvent des comités stratégiques. Du moins dans les pays anglo-saxons…

conseil d'administration : l'exception chez les gaulois réfractaires

Lors d’une récente conférence destinée aux administrateurs au Canada, le consensus a été que les comités stratégiques informatique sont encore largement méconnus dans ce pays. Ils sont également ignorés dans la quasi totalité des pays francophones Européens (France, Belgique, Luxembourg) et encore plus en Afrique. A l’inverse on trouve de plus en plus souvent un comité stratégique IT dans les entreprises des pays anglophones. Est-ce à dire que l’absence de gouvernance du SI est une caractéristique liée à la langue Française? Serait-ce le syndrome du « Gaulois réfractaire » évoqué par le Président Macron récemment? Je ne saurais répondre mais le constat est hélas factuel. C’est d’autant plus inquiétant pour l’avenir économique des ces pays à l’heure de la transformation numérique mondiale.

Les conseils d’administration de l’ère digitale doivent s’adapter

Lors d’un récent congrès d’administrateurs de sociétés, une question des organisateurs portait sur le comité stratégique informatique. De façon très décevante, la réponse quasi-unanime des participants était que ni l’ampleur de leurs dépenses informatiques ni la contribution de l’informatique au risque opérationnel n’avaient été jugées suffisamment importantes pour justifier la création d’un comité stratégique distinct. C’est là une preuve supplémentaire de la totale déconnexion des membres des conseils d’administration de la réalité du changement en cours au niveau mondial. Peut-être est-ce dû au fait que, à ce jour, les conseils d’administration peuvent apparaître comme ayant fait du bon travail de gouvernance dans des entreprises de premier plan sans aucune expertise en TI dans leurs rangs? En tout cas, il y a beaucoup de choses derrière cette réponse totalement inadéquate.

D’autant que ce sont ces mêmes membres du conseil d’administration qui parlent publiquement de la transformation numérique et de l’innovation numérique! Ils sont donc apparemment inconscients de l’impact organisationnel énorme et des risques que comporte une telle mutation, qui, par définition, inclut les TI. Ce risque augmente significativement lorsque les membres du CA ne reconnaissent pas leurs responsabilités dans la gouvernance du SI.

L’évolution nécessaire de la composition du CA

Aux Etats Unis, la plupart des membres des conseils d’administration sont indépendants. C’est là une conséquence directe de la loi Sarbanes-Oxley (SOX) depuis 2002. D’ailleurs, dans le S & P 500, Spencer Stuart constate que 85% des administrateurs sont indépendants depuis 2007. Une autre conclusion intéressante de cette étude porte sur l’âge moyen de ces administrateurs qui était de 63,1 ans en 2017. En France, selon l’AGEFI, l’âge moyen des administrateurs des sociétés du CAC40 est de 58,9 ans en 2017. Il apparaît en légère hausse par rapport à 2016. Seulement 68% des membres des CA du CAC40 sont indépendants selon le même rapport de l’AGEFI en 2017.

Un problème de compétence, mais pas seulement

Une question que le Forum Economique Mondial pose aux administrateurs est de savoir si leur conseil d’administration possède des compétences numériques, multigénérationnelles et une expertise suffisante pour donner des conseils sur des sujets commerciaux et technologiques en évolution rapide. En ce qui concerne la sensibilisation au digital, Mckinsey constate que peu de CA ont une expertise numérique suffisante. Difficile donc d’avoir des échanges significatifs sur ce sujet important avec la direction à l’ère de la transformation digitale. Par ailleurs, avec une moyenne d’âge de 63,1 ans (59,9 ans en France), il est difficile de qualifier le conseil d’administration moyen de multigénérationnel.

 L’âge moyen des membres du conseil d’administration en question

Cela complète les conclusions d’une enquête menée par le Harvard Law School Forum impliquant 860 administrateurs de sociétés publiques. De nombreux membres du conseil d’administration ne sont pas à l’aise avec la supervision informatique car, avec un âge moyen de 63,1 ans:

  • L’expérience professionnelle de la plupart des membres du conseil d’administration est antérieure à l’ère de la transformation digitale des organisations;
  • Très peu d’administrateurs ont simplement des connaissances de base en technologies de l’information.

Ce n’est donc pas que les conseils d’administration en général ne souhaitent pas une gouvernance informatique accrue. C’est plutôt que les administrateurs en place n’ont tout simplement pas les compétences ou l’expérience nécessaires pour comprendre pourquoi ou quand ils ont besoin de gouvernance informatique ou même d’un comité stratégique informatique. Les conseils d’administration peuvent-ils être négligents en n’ayant pas de compétences en informatique à bord et, par conséquent, ne pas être en mesure de poser des questions approfondies de supervision des TI au-delà des questions d’audit générales du comité d’audit? La réponse est «non», les conseils ont le devoir fiduciaire d’avoir un minimum de compétence en informatique.

Le vice-président du Comité d’Hygiène et de Sécurité du CA de Delta Air Lines a bien résumé la situation :


Les conseils d’administration doivent être préparés avec les compétences, la technologie et les processus appropriés. Hélas, la plupart des CA échouent sur la majorité ou la totalité de ces exigences.


Dans le cadre de la transformation digitale de l’économie, il est temps que les actionnaires repensent la façon dont ils votent pour les membres du CA lors de leurs assemblées générales annuelles (AGO).

Le périmètre de la transformation digitale mal compris

L’une des clés pour mieux comprendre l’approche des administrateurs est l’écoute de leurs remarques face aux technologies de l’information. Le mot spécifique qu’ils utilisent le plus souvent, c’est «dépenser» (coût). Or le coût est plus en adéquation avec l’informatique opérationnelle qu’avec la transformation numérique. Cela signifie que les membres des conseils d’administration  semblent voir l’informatique uniquement sous l’angle des coûts opérationnels. Ils n’ont pas une approche incluant aussi les  opportunités. C’est pourquoi ils trouvent acceptable de «gouverner» l’informatique par le biais du comité d’audit. S’appuyant sur les constatations citées à la figure 1, la gestion des TI au sein du comité d’audit n’est pas satisfaisante. C’est d’autant plus vrai lorsque la transformation numérique est un objectif stratégique de l’Entreprise.

Lors d’une discussion récente que j’avais avec un administrateur d’une grande société Française cotée au CAC40 et figurant parmi les leaders mondiaux de son domaine, il me disait « La transformation numérique? C’est juste de la technologie. Et la technologie suivra toujours ». Cela révèle pour le moins une incompréhension du périmètre de la transformation numérique par ceux-là même qui doivent la superviser. Ce n’est clairement pas de bon augure pour les organisations concernées.

Cette approche uniquement basée sur les coûts est aujourd’hui largement dépassée. Elle suggère qu’il n’y a peut-être pas de véritable transformation digitale dans ces organisations. Cela va à l’opposé des commentaires publics apparemment tournés vers l’avenir des membres du conseil d’administration.

Cybersécurité, compétitivité, intégration stratégique et transformation numérique

L’informatique a longtemps été beaucoup plus axée sur la durabilité organisationnelle et le positionnement stratégique que sur le coût de l’automatisation des processus. Bien sûr, le conseil d’administration continue de devoir s’intéresser à la gouvernance. Il est cependant peu probable que de nombreux administrateurs soient en mesure de discerner le rôle de l’informatique dans la réalisation des préoccupations de Deloitte concernant la création de valeur à long terme.

Recommandations aux actionnaires et aux membres du CA

La gouvernance du système d’information, pilotée par KING III, ISO / IEC 38500 et COBIT, a été formalisée depuis 2008 au moyen de la norme ISO / IEC 38500. Si l’informatique est simplement opérationnelle dans une organisation, la gouvernance informatique ne doit pas dépasser la charte des coûts du comité d’audit et risque. Mais si l’activité de l’Entreprise dépend de façon stratégique de son informatique, y compris dans un contexte de transformation digitale, alors, conformément à la norme ISO / IEC 38500, le conseil d’administration a trois responsabilités principales:

  • Evaluer continuellement les performances informatiques dans le cadre de la stratégie organisationnelle;
  • Réorienter continuellement l’informatique si ses performances compromettent la stratégie de l’organisation;
  • Surveiller en permanence les performances informatiques pour s’assurer que la stratégie de l’entreprise sera livrée aux actionnaires.

Un outil efficace : le comité stratégique TI

Les problèmes business critiques tels que celui évoqué dans cet article prennent beaucoup de temps pour être résolus. Il est donc nécessaire de réagir efficacement. La création d’un comité stratégique TI est indubitablement un outil efficace pour y remédier. Incontestablement, le sujet des systèmes d’information a depuis longtemps dépassé les domaines d’audit et de risque de base. Des organisations importantes telles que Wallmart en ont tiré les conséquences. Ainsi Wallmart s’est doté d’un comité stratégique TI dédié au niveau du conseil d’administration. Il ne faut surtout pas croire hâtivement qu’un comité stratégique TI est technique. Ce n’est pas du tout le cas. Les responsabilités énumérées dans le paragraphe précédent, ainsi que des sujets tels que la compétitivité, la transformation et la durabilité fondées sur l’informatique, sont clairement stratégiques.

Bien que la gouvernance informatique ait continué à se développer au cours de la dernière décennie et soit devenue la gouvernance du SI, le chemin à parcourir est encore long. Non seulement il n’ya pas de discussion majeure sur le leadership numérique au sein des cadres de gouvernance d’entreprise au niveau mondial, mais les administrateurs ne semblent pas encore avoir les aptitudes et les compétences nécessaires pour gérer correctement les initiatives de transformation numérique.

Une nécessité : le renouvellement des conseils d’administration

Que peut-on faire dans cette situation? En règle générale, les administrateurs sont élus lors de l’assemblée générale annuelle (AGO) par les actionnaires. Dans les organisations où la durée du mandat est limitée, les administrateurs devraient être renouvelés et bénéficier de nouvelles perspectives sur le rôle et les risques. en transformation numérique. Les actionnaires détiennent généralement une partie du pouvoir nécessaire pour remplacer les administrateurs actuels au sein des conseils d’administration. Ils ont par conséquent des moyens d’action sur les membres du CA. Ils peuvent donc s’assurer que les administrateurs possèdent des connaissances de base en informatique.

La question est de savoir si ils le veulent vraiment ou si les facteurs générant des gains à court terme (croissance du prix des actions) sont plus importants que la viabilité à long terme. Ces deux objectifs sont totalement incompatibles. Et c’est là que se situe une partie du problème.

Restons positifs malgré tout

On commence, dans certaines entreprises, à apercevoir une lueur au bout du tunnel. Quelques Organisations, auprès desquelles j’interviens comme conseil, ont unanimement considéré que la durabilité par le biais de la transformation numérique exige plus qu’un simple créneau dans les ordres du jour plus larges des comités d’audit ou des risques.

Au lieu de cela, dans le contexte de la transformation digitale, le service informatique mérite un degré de gouvernance spécialisé qui ne peut lui être accordé que par le biais d’un comité stratégique informatique dédié. C’est une première étape encourageante. Il faut maintenant oeuvrer pour que cela se développe et se généralise. C’est en s’appuyant sur des cadres de gouvernance tels que COBIT ou ISO 38500 qu’on a quelques chances d’y parvenir. Malheureusement cette mutation est très lente. Et pas sûr que les conseils d’administration aient le temps d’évoluer avant que la situation ne devienne critique.

Cybersécurité : rôle et responsabilités du Conseil d’Administration

Les cyber-menaces sont complexes et en constante évolution. Elles peuvent aussi causer d’importants dommages financiers et de réputation à une Organisation. De plus, il n’y a aucun moyen d’être protégé à 100%. C’est pourquoi la cybersécurité ne relève plus uniquement des services informatiques. Les Conseils d’Administration sont les premiers responsables de la survie de leur organisation et, dans le monde interconnecté d’aujourd’hui, la cyber-résilience fait partie intégrante de cette responsabilité. Cela signifie que le Conseil d’Administration à un rôle actif à jouer et doit assurer ses responsabilités en matière de cybersécurité.

Cybersécurité : rôle et responsabilités du Conseil d'Administration
Crédit © image by rawpixel.com

En charge de la Gouvernance de leur Organisation, les Conseils d’Administration s’assurent de l’optimisation des risques et des ressources. Dans un monde en pleine transformation digitale, ils devraient donc considérer le cyber-risque comme prioritaire. Ceci implique qu’ils devraient jouer un rôle de leader en matière de cybersécurité au sein de leur Entreprise. Dans ce cadre, voici donc quelques responsabilités en matière de sécurité informatique qui leur incombent directement.

Principes de base en matière de cyber sécurité

COBIT, référentiel de bonnes pratiques en gouvernance des Entreprises, définit un certain nombre de principes de base pour gouverner une Organisation. Le Manuel de l’Administrateur sur la surveillance des risques lés au cyber espace, publié aux USA par L’Association Nationale des Administrateurs de Sociétés (NACD) définit également le rôle et les responsabilités du C.A. en matière de cybersécurité. Cinq principes se dégagent. Ces principes de base sont universels. Ils s’appliquent à toute Organisation, publique, privée ou même à but non lucratif, quelles que soient sa taille, son domaine d’activité ou sa localisation. Ils devraient donc être pris en considération par  tous les C.A. afin d’améliorer leur surveillance des cyber-risques.

1 – La cybersécurité est une problématique d’Entreprise et non une problèmatique technologique

Les administrateurs doivent comprendre et aborder les questions de la cybersécurité en tant que sujet de gestion des risques à l’échelle de l’entreprise, et pas uniquement en tant que sujet informatique.

Il est toujours aussi surprenant de constater combien d’entreprises associent encore la sécurité des informations ou la cybersécurité à l’informatique. Certes, la plupart des signalements d’incidents de sécurité proviennent de l’informatique, Mais on ne peut pas s’y limiter car les impacts se font sentir à l’échelle de toute l’organisation. Les compétences requises pour gérer les risques et traiter les problèmes doivent donc se situent au niveau global de l’organisation. Le Conseil d’Administration doit comprendre que tout miser sur la technologie est une grave erreur.  C’est d’ailleurs la cause sous-jacente d’un grand nombre de violations majeures.

2 – Comprendre les implications juridiques et réglementaires des cyber-risques

Les administrateurs doivent comprendre les implications légales et réglementaires des cyber-risques dans la mesure où ceux-ci se rapportent au caractère spécifique de leur Organisation.

Avec la fonction vient la responsabilité. La direction et le conseil d’administration sont considérés comme responsables ultimes des cyber-risques. Ces derniers mois, de nombreux piratages importants se sont produits et, dans de nombreux cas, ils ont perdu leur poste. Gregg Steinhafel, Président du Conseil d’Administration et Directeur Général de Target, a été contraint de démissionner de toutes ses fonctions à la suite de la violation massive des données de l’Entreprise en 2013. Et plus récemment, le Directeur Général d’Equifax, Richard Smith, a du démissionner à la suite de l’important piratage informatique qui a compromis les données d’environ 143 millions d’Américains.

3 –  S’appuyer sur l’expertise adéquate et mettre la cybersécurité à l’orde du jour

Les conseils d’administration devraient avoir un accès adéquat à l’expertise en matière de cyber-risques et de cybersécurité. D’autre part, les discussions sur la gestion des risques informatiques devraient faire l’objet d’une point régulier à l’ordre du jour des réunions du conseil. Il est également très important de pouvoir accorder un temps suffisant aux discussions sur ce sujet important. Il est de plus en plus courant de voir des membres du conseil d’administration qui ont un bagage technologique ou en sécurité. Cette expertise peut vraiment aider à sensibiliser les autres administrateurs. C’est la prise de conscience qui permet de gagner la bataille contre les cybercriminels.

4 – Mettre en oeuvre un cadre de sécurité pour l’Entreprise doté de ressources suffisantes

C’est la responsabilité du Conseil d’Administration de s’assurer de la mise en place d’un cadre de gestion des risques au niveau de l’Entreprise. La Direction doit être en charge de sa mise en oeuvre, de sa surveillance et de son suivi. Il est essentiel que le Conseil d’Administration lui donne les ressources nécessaires pour atteindre cet objectif. Ces ressources devront comprendre le personnel adéquat, les budget et les outils et technologies indispensables.

Pour la définition du cadre de risques, il est toujours plus facile d’appuyer sur des référentiels existants et éprouvés. Ainsi aux USA, il sera pertinent de s’appuyer du le référentiel NIST CSF. Ce cadre a été élaboré par le  National Institute of Standards and Technology . Il a pour but de permettre aux organisations – indépendamment de la taille, du degré de cyber-risque ou de la sophistication de la cybersécurité – d’appliquer les principes et les meilleures pratiques de gestion des risques à l’amélioration de la sécurité et de la résilience des infrastructures critiques. En Europe, NIST CSF est quasi inconnu. On pourra utiliser comme base de travail les normes ISO 27001 (Systèmes de management de la sécurité de l’information) et ISO 27005 (Gestion des risques liés à la sécurité de l’information).

Il existe de nombreuses autres sources également très intéressante pour l’élaboration de votre cadre de risque. Parmi celles-ci, vous  pouvez également  vous appuyer sur la publication COBIT for risk de l’ISACA.

Une chose est sûre : il est inutile de réinventer la roue!!!

5 – Identifier les risques, prioriser, définir l’approche et planifier

La discussion du conseil d’administration sur les cyber-risques devrait inclure l’identification des risques à éviter, à accepter, à atténuer ou à transférer par le biais de l’assurance, ainsi que des plans spécifiques associés à chaque approche.

Une gestion efficace du risque de cybersécurité nécessite une compréhension de l’importance relative des actifs de l’entreprise afin de déterminer la fréquence à laquelle ils devront être examinés pour détecter les expositions au risque. Ce n’est pas une tâche simple. Il faut beaucoup de réflexion et d’efforts, ainsi qu’une grande expertise en cybersécurité.

Exigences légales et réglementaires

Les industries les plus matures ont également des directives et des exigences réglementaires sectorielles en ce qui concerne les responsabilités en matière de cybersécurité du conseil d’administration. C’est par exemple  cas du secteur financier et bancaire. Certaines exigences réglementaires et légales sont aussi à l’étude au niveau des états. Parmi ces réglementations présentant des exigences en matière de sécurité des informations, on peut citer le RGPD.

Le RGPD (ou GDPR en Anglais) est la réglementation européenne sur la protection des données personnelles. Elle s’impose à toute Organisation publique ou privée traitant les données personnelles de citoyens européens. Le RGPD comporte plusieurs exigences précises en matière de cybersécurité des données personnelles. Le non respect de cette réglementation expose l’Organisation contrevenante, quelle que soit sa localisation dans le monde à une amende pouvant atteindre 4% de son chiffre d’affaire mondial avec un minimum de 20 millions d’Euros. La conformité réglementaire et légale est une responsabilité de la Gouvernance. Il s’agit donc d’une responsabilité du Conseil d’Administration. Déjà plusieurs Entreprises ont été sanctionnées en France par la CNIL pour non conformité au RGPD. Et, à chaque fois, il s’agissait de problématiques liées à la sécurisation de données dans leur système informatique.

Responsabilités du Conseil d’Administration

Le Conseil d’Administration assure la responsabilité de Gouvernance de l’Organisation. Gouverner une organisation consiste à s’assurer de la création de bénéfices pour les parties prenantes en optimisant les risques et les ressources. Ceci peut être représenté par le diagramme suivant extrait de COBIT.

Responsabilités de la Gouvernance et du Management - COBIT
Crédit © 2012 ISACA

Le Conseil d’Administration a pour responsabilité d’évaluer les bénéfices attendus, les risques et les ressources nécessaires (Evaluate). Il devra, suite  à cette évaluation, donner l’orientation à suivre (Direct). Il a également la responsabilité de surveiller la performance et les progrès réalisés (Monitor).

Evaluer les besoins, les risques et les ressources

Une évaluation de la posture de la cybersécurité est une première étape utile pour toute organisation qui souhaite identifier sa position actuelle en matière de cybersécurité, ses faiblesses, les risques encourus et ce qu’elle doit entreprendre pour augmenter son niveau de maturité. C’est là une étape importante pour permettre à toute organisation de renforcer ses défenses en matière de cybersécurité. Le Conseil d’Administration pourra dès lors prioriser les risques et fournir une feuille de route concrète à la Direction.

En quoi consiste votre posture de cybersécurité?

Selon le National Institute of Standards and Technology (SP 800-128 de NIST), une posture de cybersécurité se rapporte à «l’état de sécurité des réseaux, informations et systèmes d’une entreprise basé sur des ressources de sécurité de l’information (personnes, matériel, logiciels, stratégies). ) et des capacités en place pour gérer la défense de l’entreprise et réagir à mesure que la situation change ».

En d’autres termes, votre posture de cybersécurité indiquera à quel point votre entreprise est saine et cyber-résiliente. Elle indiquera à quel point l’organisation peut se défendre contre les cyberattaques, les violations et les intrusions. Définir votre posture de cybersécurité est donc important. En effet, cela guidera toute votre stratégie de cybersécurité, déterminera vos projets et influencera vos dépenses en la matière au fil des ans.

Signification des niveaux de maturité

  • Un niveau de maturité faible de la cybersécurité faible signifie généralement des défenses faibles. L’organisation  court donc un risque élevé. Elle nécessite par conséquent des améliorations significatives à plusieurs niveaux pour renforcer sa posture de cybersécurité et protéger ses actifs essentiels contre les violations et les intrusions.
  • Si le niveau de maturité est moyen c’est généralement indicatif de défenses de cybersécurité moyennes. L’organisation a alors pris plusieurs mesures pour sécuriser ses actifs critiques. Elle est cependant toujours en danger et il reste encore beaucoup à faire.
  • Un niveau de maturité élevé indique généralement de solides défenses. Cela signifie que l’organisation a mis en œuvre les stratégies, processus et procédures nécessaires pour optimiser sa posture de cybersécurité. Elle est conscients de ses actifs critiques et est préparée à faire face à des incidents de sécurité en toute confiance.

Donner l’orientation à la haute direction

Le Comité Stratégique IT

Le Conseil d’Administration définit l’orientation concernant l’utilisation de l’informatique par l’Organisation. Le Conseil d’Administration doit approuver le plan stratégique informatique, le programme de sécurité de l’information et les autres politiques liées aux TI. Pour ce faire, le Conseil d’Administration peut créer un  comité stratégique en charge des problématiques IT. Ce Comité Stratégique IT sera présidé par un membre du Conseil et aura notamment les responsabilités suivantes :

  • Examiner et approuver un plan stratégique informatique qui s’aligne sur la stratégie d’entreprise globale;
  • Promouvoir une gouvernance informatique efficace;
  • Superviser les processus d’approbation des fournisseurs tiers de l’organisation;
  • Superviser et recevoir des mises à jour sur les principaux projets informatiques, les budgets informatiques, les priorités informatiques et les performances informatiques globales;
  • Approuver les politiques à appliquer et signaler les incidents de sécurité importants au conseil d’administration;
  • Superviser l’adéquation et l’allocation des ressources informatiques pour le financement et le personnel;
  • Tenir la direction responsable de l’identification, de la mesure et de l’atténuation des risques informatiques;
  • Assurer une couverture d’audit indépendante, complète et efficace des contrôles informatiques.

Le recours à des sous-traitants pour la fournitures de certains services

Le Conseil d’Administration et la haute Direction devraient établir et approuver des politiques fondées sur les risques pour régir le processus d’impartition. Les politiques devraient reconnaître le risque pour l’Organisation d’externaliser les relations. Elles devraient également être adaptées à la taille et à la complexité de l’Organisation. Les facteurs que les Entreprises devraient envisager sont les suivants:

  • S’assurer que chaque relation d’impartition appuie les exigences globales et les plans stratégiques de l’organisation;
  • S’assurer que l’organisation dispose d’une expertise suffisante pour superviser et gérer la relation;
  • Evaluer les prestataires potentiels en fonction de la portée et de la criticité des services externalisés;
  • Adapter le programme de surveillance des prestataires de services à l’échelle de l’entreprise en fonction des évaluations des risques initiales et continues des services externalisés;

Surveiller la performance de l’organisation et les progrès

L’audit

  • Le Conseil dAdministration et la haute direction ont la responsabilité de veiller à ce que le système de contrôle interne de l’établissement fonctionne efficacement;
  • Le Conseil d’Administration devrait s’assurer que des directives écrites pour la conduite des audits informatiques ont été adoptées;
  • Le Comité d’Audit (sous la responsabilité du C.A.) est chargé d’examiner et d’approuver les stratégies d’audit (y compris les politiques et les programmes) et de surveiller l’efficacité de la fonction d’audit.

 

Cybersécurité : comment convaincre le Conseil d’Administration

A l’heure où les Entreprises entreprennent leur transformation digitale, le risque en matière de Cybersécurité s’accroit de jour en jour et une question se pose : comment sensibiliser et convaincre le Conseil d’Administration d’adopter une stratégie en matière de cybersécurité?

Stratégie de cybersécurité : comment convaincre le Conseil d'Administration?
Crédit © Image by rawpixel.com

Lorsqu’il s’agit de mettre en œuvre une stratégie de cybersécurité à l’échelle de l’entreprise, les responsables de la sécurité, tels que les RSSI, les directeurs informatiques ou les gestionnaires des risques, ont souvent les mains liées. Ressources et budgets insuffisants, incompréhension du risque au plus haut niveau sont leur lot quotidien. Il leur faut donc tout d’abord convaincre le Conseil d’Administration de la criticité du sujet. C’est en effet le Conseil d’Administration qui exerce la responsabilité de gouvernance de l’Entreprise. C’est donc lui qui priorise les risques et définit les ressources qu’il autorise pour atteindre les bénéfices attendus par les parties prenantes de l’Organisation.

Heureusement, la cybersécurité est désormais passée de la sphère technique à la salle du conseil au cours de ces dernières années. Aussi, de plus en plus de membres du conseil d’administration comprennent l’importance d’une bonne cybersécurité dans l’environnement numérique actuel. Il faut dire aussi que beaucoup d’Entreprises ont renouvelé leurs conseils d’administration avec des administrateurs plus jeunes et plus au fait des problématiques de sécurité de l’information.


La stratégie de cybersécurité doit être décidée par le Conseil d’Administration, exécutée par le Comité de Direction et devenir la propriété des premières lignes de l’Organisation. (Help Net Security)


Néanmoins, environ 87% des membres du Conseil d’Administration et des cadres supérieurs n’ont pas confiance dans le niveau de cybersécurité de leur organisation.

Vous êtes RSSI ou responsable de la mise en œuvre des stratégies de sécurité pour votre organisation? Alors il est très probable que vous serez amené à présenter vos propositions au Conseil d’Administration. Et vous devrez le faire d’une manière claire, pertinente et convaincante. Nous allons donc vous donner quelques pistes pour mieux sensibiliser les administrateurs à l’urgence d’agir en la matière.

Cybersécurité : comment convaincre votre Conseil d’Administration?

Nous vous proposons 10 bonnes pratiques à suivre pour expliquer la cybersécurité à votre conseil d’administration afin d’obtenir l’adhésion nécessaire pour sécuriser votre entreprise. Il ne s’agit pas là d’une liste exhaustive et vous devrez, sans aucun doute l’adapter en fonction des priorités de votre Organisation. Il s’agit seulement de 10 pratiques éprouvées par nos experts dans le cadre de leurs missions auprès des Entreprises :

  1. Apprenez à bien connaître les membres du CA
  2. Banissez les termes techniques
  3. Appuyez-vous sur des exemples réels
  4. Alignez-vous sur la stratégie business globale
  5. Concentrez-vous uniquement sur les points importants
  6. Adoptez une approche basée sur la gestion des risques
  7. Expliquez clairement ce que vous essayez de réaliser
  8. Argumentez en vous appuyant sur des chiffres significatifs et justes
  9. Proposez des solutions concrètes
  10. Démontrez le retour sur investissement

Apprenez à bien connaître les membres de votre Conseil d’Administration

Quel que soit votre secteur d’activité, la taille de votre entreprise ou son niveau de maturité en matière de cybersécurité, une présentation réussie dépendra de votre connaissance du public. Assurez-vous donc de vous familiariser vous-même avec chacun des membres du conseil avant d’entrer dans la salle. Apprenez à connaître leurs antécédents, leur position respective et leur influence dans l’organisation. Comprenez aussi leurs points sensibles et leur approche globale vis à vis de la sécurité et des risques. Plus vous en saurez sur les membres du conseil, plus il sera facile de les comprendre. Et cela vous permettra de les convaincre plus facilement avec des arguments qui leur parleront.

Au minimum, essayez d’en savoir un peu plus sur le président du Conseil d’Administration, ainsi que sur les présidents des comités suivants:

  • Comité de sécurité,
  • Comité des Risques et de la Conformité.

Banissez les termes techniques

Plus vous utiliserez des termes simples et mieux les membres du Conseil d’Administration comprendront votre présentation.

Il y a fort à parier que,votre CA ne soit pas très familier avec les termes, les outils et les technologies de sécurité. Pour vous assurer que vous pouvez être compris et faire passer votre message, banissez les termes techniques. Concentrez plutôt votre discours sur des principes et des scénarios faciles à comprendre. Remplacez les termes tels que les attaques  de type SIEM, DDoS et MITM par des concepts universels tels que la gestion des risques, les cyberattaques et les principes de sécurité.

Abordez les sujets qui intéressent les administrateurs tels que :

Appuyez-vous sur des exemples réels

Tout point que vous voudrez aborder doit être appuyé par un exemple concret. Cela aidera les membres du conseil à comprendre l’essence de ce que vous dites.

Par exemple, le niveau de maturité en matière de l’entreprise en matière de cybersécurité pourrait être présenté avec une échelle de feux tricolores simple allant du vert au rouge en passant par l’orange. L’impact de certaines cyber-menaces peut être souligné par des articles récents montrant les conséquences. Ainsi, par exemple, il peut s’agir des coûts résultant de l’absence de mise en oeuvre des mesures de cybersécurité appropriées.

Si ce n’est pas suffisant, appuyez vous sur des études de cas réels. Choisissez  des organisations similaires à la vôtre. Vous pourrez ainsi montrer comment les stratégies de cybersécurité ont aidé à sécuriser d’autres organisations contre les violations et les intrusions.

Alignez-vous sur la stratégie business globale de votre Organisation

Quelle que soit la conviction de votre proposition, elle sera inutile si elle ne correspond pas à la stratégie globale de l’organisation. Vous n’êtes pas là pour discuter des difficultés inhérentes à la gestion de vos opérations de sécurité. Votre CA ne s’intéresse qu’à la stratégie de haut niveau de l’entreprise. Aussi chaque décision sera probablement basée sur la manière dont elle aidera l’organisation à atteindre ses objectifs business.

Avant de parler aux administrateurs, assurez-vous de vous familiariser avec la stratégie et les objectifs globaux de l’entreprise. Faites ainsi valoir vos arguments en faveur de l’atteinte ces objectifs.

Concentrez-vous uniquement sur les points importants

Rappelez-vous que votre CA ne se réunit que de façon périodique et que son temps est précieux. C’est pourquoi votre présentation doit se concentrer uniquement sur les éléments critiques. N’incluez jamais des informations « intéressantes à avoir » mais non essentielles. Si vous éliminez le superflu votre CA appréciera votre respect pour son temps. Il se rappellera ainsi d’autant mieux les points essentiels que vous souhaitez faire passer.

Adoptez une approche basée sur la gestion des risques

Les entreprises ont des ressources limitées pour gérer leurs risques et le CA est le garant de leur optimisation. L’une des priorités majeures du Conseil d’Administration est de s’assurer que les risques pour l’Organisations sont correctement gérés. Lors de votre présentation, vous devez vous assurer que votre stratégie de cybersécurité aura un impact durable sur l’Entreprise. Concentrez-vous donc sur les principales stratégies qui peuvent vous aider à améliorer votre situation en matière de cybersécurité et à renforcer vos défenses contre les menaces et les intrusions.

En adoptant une approche de gestion des risques, vous serez mieux compris des administrateurs. C’est un des sujets auxquels ils sont très sensibles et qu’ils maîtrisent parfaitement.

Expliquez clairement ce que vous essayez de réaliser

En introduction essayez de bien faire comprendre aux administrateurs la raison de votre présence devant eux. Avant de commencer votre présentation, assurez-vous donc d’expliquer clairement quel est votre objectif :

  • S’agit-il d’une nouvelle orientation stratégique en matière de cybersécurité?
  • Avez-vous besoin de plus de budget pour certaines acquisitions?
  • Devrez-vous embaucher des ressources supplémentaires et obtenir leur approbation?
  • Avez-vous besoin que le CA examine et approuve une nouvelle politique relative à la sécurité?

Les membres du conseil d’administration doivent avoir une compréhension claire de ce que vous essayez d’obtenir de leur part.

Argumentez en vous appuyant sur de chiffres significatifs et justes

Collectez des faits et des chiffres. Et surtout préparez-vous à répondre de façon précise aux questions.

Il est probable que les membres du Conseil d’administration poseront des questions spécifiques sur la situation actuelle de l’organisation en matière de cybersécurité, son évolution au fil des dernières années et la manière dont ils peuvent mesurer le niveau d’exposition au risque.

Assurez-vous de trouver des chiffres et des statistiques pertinents pour faire valoir votre point de vue. Par exemple, la stratégie de cybersécurité proposée peut nécessiter un budget supplémentaire de 8%, mais vous obtenez un retour sur investissement mesurable car votre exposition au risque sera réduite de 25%. La connaissance des chiffres significatifs et vérifiables constituera un argument clé pour convaincre le conseil.

Proposez des solutions concrètes

Soulever un problème est une chose, proposer une solution en est une autre.


Souvent les managers des départements ou des équipes viennent me voir en me disant « J’ai un problème ». Et j’ai l’habitude de leur répondre « Alors va le résoudre, et reviens me voir lorsque tu auras des solutions à me proposer ». Le CA n’est pas là pour vous aider à résoudre vos défis. Il a seulement pour rôle d’entériner une des solutions que vous lui proposez.


Assurez-vous de ne pas simplement parler de vos défis mais plutôt de mettre en place des solutions concrètes de cybersécurité qui vous faciliteront la vie tout en bénéficiant à l’Organisation. Par exemple, votre présentation pourrait se terminer par une liste de 5 stratégies concrètes que vous prévoyez d’entreprendre. Présentez leur impact budgétaire, leur date de début et de fin, leur impact sur l’activité et le retour sur investissement prévu. Une conversation de haut niveau est un bon point de départ. Cependant seules des solutions concrètes permettront d’apporter un changement durable.

Démontrez le retour sur investissement

Si vous voulez obtenir l’adhésion du CA à votre proposition de stratégie de cybersécurité, assurez-vous d’expliquer clairement comment vous allez rendre compte de vos projets. Et surtout, expliquez comment vous pouvez démontrer le retour sur investissement de votre proposition. Par exemple, vous pouvez décider de mener une évaluation de la situation de la cybersécurité de votre entreprise pour savoir où vous en êtes aujourd’hui et où vous devriez vous situer à la fin de la mise en œuvre.

Une progression mesurable du niveau de maturité de l’Entreprise en matière de cybersécurité peut aider à gagner l’adhésion des membres du conseil d’administration. Ils pourront ainsi être assurés que leur engagement a été payant.

En conclusion…

Pour qu’une stratégie de cybersécurité soit efficace et permette d’opérer un changement durable, le RSSI devra faire preuve d’intelligence pour obtenir l’adhésion de son Conseil d’Administration. Gardez à l’esprit que le temps que vous allez passer devant le CA est limité (généralement moins de 30 minutes). Alors concentrez-vous sur les éléments les plus importants qui éveilleront leur intérêt  et qui sont alignés avec leurs priorités et objectifs permettant d’assurer le succès de l’Entreprise sur le long terme

Si vos arguments sont clairs, pertinents et facilement compréhensibles, liés aux opérations et à la stratégie de l’entreprise, et que vous pouvez démontrer le retour sur investissement de votre proposition de stratégie de cybersécurité, alors vous aurez de meilleures chances d’obtenir le soutien nécessaire pour ce que vous essayez de réaliser.

Vous avez besoin d’aide pour préparer votre intervention ou même pour vous assister lors de votre présentation au CA? Vous pouvez contacter l’un de nos experts en Gouvernance et en Stratégie de cybersécurité qui vous proposera une présentation exécutive efficace à destination des membres de votre Conseil d’Administration.

GDPR – Etat des lieux alarmant

GDPR – Les DSI face à leurs responsabilités

Alors que la nouvelle réglementation européenne sur la protection des données personnelles (GDPR) va entrer en vigueur le 25 Mai 2018, et donc à moins de 18 mois de son application, TREND Micro a réalisé une enquête  extrêmement révélatrice auprès des DSI Français. L’état des lieux est pour le moins alarmant concernant la sécurité des informations dans les Entreprises Françaises.

GDPR - Les DSI face à leurs responsabilités

Et vous? Serez-vous prêts pour cette échéance importante? N’hésitez pas à nous adresser vos commentaires et vos questions. Un de nos experts en protection des données personnelles vous répondra.

 

GDPR – Exigences de protection des données

GDPR – Exigences de la réglementation

Dans notre précédent article GDPR et la protection des données en Afrique. Nous avions évoqué la Réglementation Générale de Protection des Données adoptée par l’Union Européenne et quelles en seraient les impacts sur les économies des pays Africains. Dans ce nouvel article, nous allons voir, plus en détail, quelles sont les principales exigences de la réglementation. 

GDPR le contenu de la réglementation sur la protection des données

La mise en conformité à la GDPR peut, au premier abord, apparaître comme un fardeau. Cela ne l’est pas. C’est  un moyen de protéger chacun d’entre nous, car nous sommes tous l’objet de données, l’exploitant ou encore le vérificateur de données. La GDPR se concentre sur les données personnelles. Mais c’est une occasion idéale pour investir dans la protection de toutes vos données. Tout cela sera finalement très utile car ce sont vos données qui sont la source de votre activité économique.

Pourquoi protéger les données de l’Entreprise?

Vous pensez ne pas être concernés car vous produisez des crayons et vous pensez que l’informatique est secondaire dans votre activité. Pensez un seul instant aux données qui vous sont propres pour produire vos crayons. Il y a les spécifications, la propriété intellectuelle, les données sur vos fournisseurs, les informations sur commandes, les clients, les services financiers, les coordonnées bancaires de vos clients et de vos fournisseurs, les informations personnelles de vos employés, les configurations de sécurité que vous avez mises en place… Toutes ces informations sont vitales pour votre activité. Que se passerait-il si vous les perdiez ou si elles arrivaient entre les mains de votre concurrent?

Commençons donc par le début. Nous devons assurer une bonne protection des données. Ce n’est pas seulement parce que la GDPR l’exige et que nous devons nous aligner sur les exigences de l’UE. C’est simplement un pré-requis indispensable à la bonne gestion d’une Entreprise. Tout bon régime de protection des données commence par une stratégie. Celle-ci précise les obligations de l’Entreprise vis à vis des données et les résultats escomptés. La stratégie définit également les moyens à mettre en oeuvre pour protéger ces informations.

Comment nous y prendre?

Les Entreprises ont deux sources d’inspiration pour baliser leur chemin.

Le premier est la GDPR elle-même parce qu’elle énonce les obligations que les entreprises doivent appliquer à leur système d’information. Le second est l’utilisation de référentiels tels que COBIT 5 ou de normes telles que ISO 27001. COBIT 5 et ISO 27001 nous fournissent le cadre sur la base duquel évaluer comment vous allez atteindre ces résultats et les bénéfices attendus. En combinant liste complète des exigences de la GDPR et l’utilisation de COBIT 5, les entreprises seront donc en mesure de répondre aux exigences de conformité de GDPR de façon transparente.

Les principales exigences de la GDPR

Avant d’aborder comment nous y prendre, examinons un peu plus en détail les exigences de la réglementation

1. Même si votre entreprise n’est pas dans l’UE, la réglementation s’applique

Les organisations non situées dans un état européen mais qui font des affaires avec l’UE et utilisent les données personnelles des ressortissants de l’UE doivent se préparer à se conformer à la réglementation. Ceux qui fournissent des produits ou des services à des clients dans l’UE ou qui traitent ou manipulent leurs données peuvent avoir à faire face à des poursuites de l’UE si un incident de sécurité est signalé.

C’est notamment le cas de toute banque Africaine qui reçoit de l’argent depuis un compte situé en Europe. C’est la même chose si elle effectue un transfert vers un compte bancaire Européen. Cette banque Africaine aura alors en sa possession les données bancaires du citoyen ou de l’Entreprise européenne avec laquelle s’effectue la transaction. Ces informations doivent donc être protégées en respectant les exigences de la GDPR. Toute transaction commerciale impliquant une organisation Africaine et un Organisation Européenne est donc concernée.

2. La définition des données personnelles est élargie

La confidentialité des données concerne désormais d’autres facteurs susceptibles d’être utilisés pour identifier un individu. Il s’agit par exemple de son identité génétique, psychique, économique, culturelle ou sociale. Les entreprises sont incitées à prendre des mesures afin de réduire la quantité d’informations personnelles qu’ils stockent, et à veiller à ce qu’elles ne stockent pas les informations plus longtemps que strictement nécessaire.

3. Un consentement est requis pour traiter les données relatives aux enfants

Le consentement des parents sera nécessaire pour le traitement des données personnelles des enfants de moins de 16 ans. Chaque État membre de l’UE peut abaisser à 13 ans l’âge nécessitant le consentement parental. Bien entendu des traces doivent permettre la vérification au travers d’audits.

4. Les modifications apportées aux règles d’obtention du consentement valide

Un document de consentement au traitement des données personnelles doit être exprimé en termes simples et non ambigus. Le consentement ne se présume pas. Le silence ou l’absence de réponse ne constitue pas un consentement. Un consentement clair et positif au traitement des données privées doit être fourni, de façon formelle et auditable.

Imaginons que vous utilisez le mailing internet pour contacter vos clients. Chacun d’eux doit avoir fourni un consentement clair et positif à être présent dans votre liste d’adresses. Cela signifie que citoyen d’un état Européen qui recevrait un email provenant d’une société, en Afrique par exemple, et qui n’aurait pas donné explicitement son consentement pour être contacté par mail serait en droit de poursuivre ladite Société, laquelle serait du coup passible d’une lourde amende pour non respect de la GDPR.

5. La nomination d’un Directeur de la Protection des Données (DPO) est obligatoire pour certaines entreprises

L’article 35 de la GDPR stipule que des Directeurs de la Protection des Données (DPO – Data Protection Officer) doivent être nommés dans toutes les administrations. En outre, un DPO sera nécessaire lorsque les activités de base de l’Organisation impliquent « un suivi régulier et systématique de grandes quantités de données personnelles » ou lorsque l’entité effectue le traitement à grande échelle de « catégories particulières de données à caractère personnel ». Cela fait donc référence aux sociétés de service informatique qui opèrent le système d’information de leurs clients.

Les entreprises dont l’activité principale n’est pas le traitement de données sont exemptées de cette obligation.

La GDPR ne précise pas les diplômes et certifications professionnelles requis pour les Directeurs de  la Protection des Données, mais stipulent néanmoins qu’ils doivent avoir  «une connaissance approfondie du droit et des pratiques de protection des données. »

6. Evaluations obligatoires d’impacts des risques sur la protection des données

Une approche basée sur les risques doit être adoptée avant d’entreprendre des activités de traitement de données sensibles. Des rôles de vérificateurs de données seront nécessaires pour effectuer des évaluations d’impact, analyser et minimiser ces risques pour les personnes concernées dès lors que des risques de violation de la vie privée sont élevés.

Ce sera notamment le cas lorsqu’une Entreprise Européenne entrera en relation d’affaires avec une Entreprise d’un pays dont la législation est plus tolérante.

7. Exigences nouvelles en matière de notification de violations des données

Les vérificateurs de données seront tenus de signaler les violations de confidentialité constatées à leur autorité de protection des données, à moins que celles-ci ne représentent qu’un risque faible pour les droits et libertés des personnes concernées. L’information doit être transmise dans les 72 heures suivant la constatation de la violation de confidentialité par les vérificateurs. Des dérogations pourront exister en cas de circonstances exceptionnelles, qui devront être justifiées.

Lorsque le risque pour les individus est élevé, les personnes concernées doivent être informées. Toutefois, aucun délai n’est spécifié par la règlementation.

Des audits réguliers de la chaîne d’information et des vérifications seront requis pour assurer que le nouveau régime de sécurité est bien adapté à l’usage.

8. Le droit à l’oubli

Tout individu a le « droit à l’oubli ». La GDPR prévoit des lignes directrices claires sur les circonstances dans lesquelles le droit peut être exercé.

9. Le transfert international de données

Étant donné que la règlementation est également applicable aux Entreprises qui utilisent et transforment les données, les organisations doivent être conscientes du risque de transfert de données vers des pays ne faisant pas partie de l’UE.

10. Responsabilités en matière de traitement de données

Les Entreprise exploitant des données auront des obligations et des responsabilités juridiques directes. Cela signifie que les exploitants peuvent être tenus responsables des violations de données. Les arrangements contractuels devront donc être mis à jour en précisant les responsabilités et les obligations de chacune des parties. Il s’agit là d’une exigence impérative dans les futurs accords.

Les Parties devront documenter leurs responsabilités sur les données encore plus clairement, et les niveaux de risque accrus peuvent clairement influer sur le coût des services.

11. La portabilité des données

La portabilité des données permettra à un utilisateur de demander une copie de ses données personnelles dans un format utilisable et par voie électronique transmissible à un autre système de traitement.

12. Protection par la conception

La GDPR exige que les systèmes et les processus prennent en compte le respect des principes de protection des données. L’essence de la protection par la conception est que la vie privée dans un service ou un produit est pris en compte non seulement au moment de la livraison, mais aussi dès l’origines de la création du concept de produit.

Il y a aussi une exigence que les vérificateurs ne doivent recueillir que les données strictement nécessaires à la réalisation de leurs objectifs spécifiques et les détruire  dès qu’elle ne sont plus nécessaires.

13. Un guichet unique

Un nouveau guichet unique Européen est créé pour les entreprises. Cela signifie que les entreprises ne devront faire face à une autorité de surveillance unique pour l’ensemble de l’Europe et non pas au sein de chaque état. Ceci rend plus simple et moins coûteux pour les entreprises de faire des affaires dans l’UE. Cela aura également un impact positif pour les fournisseurs de services Internet ayant des bureaux dans plusieurs pays de l’UE.

Et pour se mettre en conformité, comment fait-on?

Dans notre prochain article, nous verrons comment nous appuyer sur COBIT 5 et ISO 27001 pour implémenter l’ensemble des mesures nécessaires à la conformité requise par la GDPR.

Vous avez des questions sur le contenu de la réglementation, son interprétation ou ses conséquences pratiques? N’hésitez pas à nous poster un commentaire et un de nos experts en protection des données personnelles vous répondra.

GDPR et protection des données en Afrique

Les exigences et les conséquences du GDPR

La règlementation générale sur la protection des données (GDPR: General Data Protection Régulation) est applicable à partir du 25 mai 2018. Elle deviendra donc, de fait, une loi applicable dans chacun des pays de la Communauté Européenne à cette date. Encore une réglementation européenne de plus, pensez-vous? Non, pas exactement. Il s’agit là d’une réglementation majeure qui va impacter profondément les économies des pays Européens. Mais elle va également impacter celles des pays qui ont des liens commerciaux forts avec l’Europe. Les pays d’Afrique sont au premier plan des pays qui vont subir de plein fouet cette nouvelle réglementation. Alors de quoi s’agit-il? Faut-il s’inquiéter? Comment s’y préparer pour réduire les risques pour nos économies? Nous allons essayer de vous apporter quelques ébauches de réponses.

COBIT, GDPR et la protection des données

 GDPR – Ca veut dire quoi?

GDPR signifie Réglementation Générale sur la Protection des Données. Il s’agit d’une réglementation Européenne (99 articles décrits sur 88 pages) qui entrera en vigueur le 25 Mai 2018. A compter de cette date, elle s’impose à toutes les Entreprises de l’ensemble des états de la Communauté Européenne. L’objectif de cette réglementation est d’assurer la protection des données personnelles de l’ensemble des citoyens, notamment face aux risques de cybersécurité qui augmentent chaque jour.

La négligence, l’imprudence ou la simple malchance ne constitueront pas une excuse en vertu de la loi renforcée. Les entreprises qui seront en violation avec la loi devront faire face à une augmentation des peines importantes. A moins, bien sûr, qu’elles ne puissent démontrer que la protection des données qu’elles utilisent – la confidentialité et la sécurité – était manifestement au niveau de qualité exigé par le GDPR. Ceci a notamment pour objectif de nous assurer que nous, en tant qu’individus, disposons de privilèges plus étendus sur nos données personnelles, y compris le droit à l’oubli.

Quels sont les enjeux?

Le GDPR est fondamentalement une excellente chose. Il est moralement juste et chacun d’entre nous devrait y adhérer sans réserve. Il y a de bonnes raisons commerciales également à le respecter :

  • le respect du GDPR signifie que nous sommes alignés avec la réglementation Européenne en la matière et que nous pouvons donc avoir des activités commerciales avec des Entreprises dans tous les pays Européens,
  • c’est l’occasion de mieux protéger nos données contre les risques en matière de cybersécurité,
  • c’est aussi la meilleure façon d’assurer que nous sommes alignés avec la réglementation en vigueur en Amérique du Nord et que les risques de cybersécurité ne seront pas un frein à nos échanges avec les USA et le Canada.

Mais, malheureusement, il y a aussi des coûts associés :

  • la mise en oeuvre des obligations prévues par la réglementation,
  • les problèmes de réputation et les aspects stratégiques,
  • les coûts opérationnels et les coûts de conformité,
  • et enfin la mise à niveau, en termes de formation et de sensibilisation, de l’ensemble du personnel des Entreprises, depuis le Président du Conseil d’Administration jusqu’au gardien, car les individus sont les premiers remparts en matière de sécurité des données.

Tous ces coûts risquent fort d’être extrêmement importants. Et ce surtout en Afrique où le sujet n’intéresse, pour l’instant, pas grand monde et où le niveau de sécurité de l’information dans les Entreprises est proche de zéro. Combien d’Entreprises, par exemple, sont aujourd’hui, en Afrique, certifiées sur la base de la norme ISO 27001? L’étude annuelle réalisée début 2016 par l’ISO montre seulement 129 entreprises certifiées ISO 27001 en Afrique. Parmi celles-ci, seulement 2 sont en Afrique Francophone subsaharienne (1 en Côte d’Ivoire et 1 au Sénégal). Ce chiffre est à comparer avec les plus de 12.000 organisations certifiées en Asie…

Les exigences du GDPR en matière de protection des données

L’ICO (Information Commissioner’s Office), organisation indépendante créée au Royaume Uni en vue  superviser les droits sur l’information dans l’intérêt public, donne une explication détaillée et compréhensible des principaux aspects de cette règlementation.

Quelques points clés issus du contenu de la réglementation sont particulièrement importants pour les économies Africaines :

Fournisseurs et partenaires d’affaires sont inclus dans le périmètre

Les fournisseurs et les partenaires d’affaires doivent être inclus dans le périmètre de la gestion de la protection des données. Cela signifie qu’une Entreprise Européenne ne pourra transmettre des données (bancaires ou commerciales par exemple) à un fournisseur ou un partenaire d’affaires situé sur le continent Africain que si et seulement si ce fournisseur ou ce partenaire d’affaires peut apporter la preuve (au travers d’un audit ou d’une certification par exemple) qu’il sécurise ses informations à un niveau au minimum égal à ce qu’exige la réglementation Européenne.

Compréhension des vulnérabilité et menaces

Comprendre les vulnérabilités, les menaces et l’efficacité de votre maintenance corrective sont essentiels. Cela signifie, en clair, qu’il est indispensable que toutes les menaces, toutes les vulnérabilités et la maintenance corrective des logiciels que vous utilisez soient connues, comprises, évaluées et contrôlées. En Afrique, les Entreprises sont majoritairement des PMEs. Les budgets et les compétences nécessaires vont bien au-delà de leurs moyens. Par contre, cela rentre typiquement dans le périmètre des obligations d’un éditeur de logiciel. Cela signifie donc, entre autres, qu’il ne sera pas possible, sauf à démontrer que l’obligation est bien respectée grâce à des certifications internationales ou des audits, de s’appuyer sur des applications spécifiques, développées en interne par les Entreprises. Impossible également de s’appuyer sur du logiciel libre, largement répandu dans les Entreprises Africaines. Dans ce cas, il sera impossible d’apporter la preuve du respect de l’exigence dans le cadre d’un audit.

Sécurisation adéquate des données des clients

Les données des clients doivent être considérées parmi les « biens » les plus précieux de l’Entreprise. Elles doivent donc être protégées comme telles et  bénéficier d’un niveau de sécurité maximum. Des audits et/ou des certifications d’entreprises sur des normes internationales devront permettre de démontrer que le niveau adéquat de protection est bien appliqué aux données des clients (informations personnelles, informations bancaires, informations médicales par exemple), y compris lorsqu’elles transitent ou sont manipulées au sein d’une Entreprise Africaine, partenaire d’affaires, client ou fournisseur d’une Entreprise Européenne.

Protection efficace contre les faiblesses humaines

Une protection efficace est exigée contre des fuites de données involontaires, provoquées par l’entreprise et son personnel, notamment via les médias sociaux. Cela implique une formation de l’ensemble du personnel des Entreprises Africaines, allant du Président au gardien, sur la sécurité de l’information et la mise en oeuvre de moyens de contrôle, notamment sur la fuite d’informations via les réseaux sociaux. Cela risque de s’avérer quasi-impossible dans des pays où le moyen privilégié de communication est Facebook. Facebook constitue généralement, dans les pays d’Afrique subsaharienne, le support institutionnel pour la communication d’Entreprise.

De plus les législations locales des pays Africains n’autorisent pas ces pratiques de contrôle pour les Entreprises. Cela nécessite donc des changements culturels et législatifs qui prendront beaucoup de temps. Or le temps est compté puisque la réglementation s’applique à compter du 25 Mai 2018. De plus ces évolutions risquent fort de rencontrer une opposition farouche des populations. Elles considèreront cela, sans aucun doute, comme une entrave à leurs libertés.

Et si une Entreprise n’est pas conforme au GDPR?

L’article 83 du GDPR stipule que toute Entreprise Européenne non conforme à la réglementation sera soumise à une amende égale à la plus élevée des deux montants : 20.000.000 Euros ou 4% de son chiffre d’affaire annuel.

Il est clair qu’aucune organisation en Europe n’acceptera de courir un tel risque avec un partenaire d’affaires ou un fournisseur qui ne serait pas aligné sur les exigences de cette réglementation.

GDPR - Impacts

Les conséquences pour les économies des pays Africains

Les conséquences pour les économies Africaines sont donc claires. Elles doivent s’adapter pour permettre à leurs Entreprises de faire du business avec l’Europe, qui constitue un de leurs plus gros marchés. A défaut, elles seront dans de très grandes difficultés. Le temps presse car cette réglementation entre en vigueur le 25 Mai 2018. Inutile d’envisager de rediriger les marchés vers l’Asie ou l’Amérique du Nord. Des réglementations similaires, tout aussi contraignantes, y sont déjà appliquées ou en voie de l’être. Il faut donc transformer, dans un délai de 18 mois, les Entreprises pour les rendre conformes aux obligations réglementaires.

Dans notre prochain article, nous vous donnerons quelques pistes pour réussir cette transformation dans les délais en vous appuyant sur des référentiels de Gouvernance et de Management de la Sécurité de l’Information tels que COBIT ou ISO 27001 en vue d’une meilleure protection des données.

N’hésitez pas à nous communiquer vos commentaires et vos questions. Nos experts se feront un plaisir de vous répondre.

Catégories

Archives

Calendrier

décembre 2018
L M M J V S D
« Nov    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
%d blogueurs aiment cette page :