Jeudi 13 décembre 2018 s'est déroulée la 6ème édition du NetSecure Day (journée de la cybersécurité) à Rouen, à laquelle j'ai participé pour la première fois.
Je ne suis absolument pas développeur ou responsable informatique, et encore moins expert en cybersécurité/cyberdéfense, mais ce sont des sujets sur lesquels je m'informe par différents moyens (blog, podcast, vidéos Youtube, publications diverses, discussions de coworking, etc.).
Quel intérêt pour une société de conseil en organisation et management de se rendre à un événement traitant de cybersécurité?
A l'instar de ce que j'avais pu dire lors de ma participation au salon Pollutec, je trouve important de connaitre les tendances, les problématiques et outils qui se développent afin d'apporter les meilleures solutions et conseils auprès de toute personne qui fait appel à mes services.
Les réflexions sur l'organisation des entreprises et les évolutions des systèmes de management ne peuvent faire l'impasse sur l'intégration des problématiques liées à la sécurité des données, ce qui passe par la sécurité informatique et l'hygiène numérique.
Si je m'y intéresse à mon échelle à titre de curiosité et veille personnelle, il s'agit en revanche d'un enjeu primordial pour les entreprises à l'heure actuelle.
Et la participation à cette journée m'a conforté dans cette idée.
C'était vraiment très instructif pour sensibiliser les dirigeants d'entreprises en s'appuyant sur des cas concrets afin de compléter les expériences que j'ai pu rencontrer jusqu'à présent.
Ce type de manifestation ne fait pas de moi (ou des autres curieux) un expert mais déjà, connaitre les enjeux est un bon moyen pour apporter des réponses pertinentes.
Cela permet aussi d'éviter de se retrouver dans une position où les lacunes dans ce domaine peuvent porter préjudice à la légitimité et à la compétence d'un responsable, comme c'est le cas pour le chef adjoint de l’unité de stratégie de sécurité informatique du gouvernement japonais, qui confesse n'avoir jamais touché à un ordinateur (s'il n'est pas toujours nécessaire d'être expert dans son domaine pour savoir prendre des décisions, il faut a minima savoir de quoi on parle).
Très souvent, j'ai pu constater que beaucoup d'entreprises ne sont pas prêtes face la révolution des outils et des usages informatiques à laquelle elles sont confrontées. La solution est trop fréquemment une réponse uniquement technique (moyens matériels et services) quand elle devrait également, et surtout, être une modification en profondeur des modes de management et des organisations.
"On est une entreprise "digitale", on a doté nos collaborateurs de smartphones et d'ordinateurs portables connectés à internet. De toute façon, les jeunes sont nés avec, donc pas besoin de leur expliquer".
Ce type de propos peut faire sourire mais c'est malheureusement parfois la seule approche de la révolution numérique telle qu'elle est envisagée en entreprise (vous y avez peut-être même été confrontés).
C'est une grave erreur, déjà parce qu'il n'y a pas que les jeunes qui sont confrontés à l'utilisation des outils informatiques, mais aussi parce que même pour les jeunes générations, savoir utiliser un smartphone (et encore, sorties de quelques applications, elles ont souvent encore moins de notions informatiques que leur ainés) ça ne veut pas dire qu'on maitrise les outils, loin de là…
Là où on demande à un ouvrier toute une série d'habilitations, de certifications et autres dispositifs avaient de manipuler tel outil ou matériel pour des raisons de sécurité physique, dans les bureaux, pas ou peu de dispositifs pour assurer la sécurité des données, autre sujet sensible d'une entreprise.
Qui sait vraiment utiliser ne serait-ce que la suite Office de Microsoft et en premier lieu Outlook, pourtant porte d'entrée et de sortie d'un grand nombre des données de l'entreprise?
Combien d'entreprises vérifient (et savent vérifier) quels collaborateurs savent utiliser les outils mis à disposition, qu'ils ne risquent pas de divulguer des données sensibles de manière volontaire, ou accidentellement simplement par méconnaissance?
Combien de sociétés s'assurent que leur réseaux soient fermés et suffisamment sécurisés?
Combien peuvent être certaines des données auxquelles ont accès (ou pas) les stagiaires ou simplement collaborateurs en période d'essai ou de préavis de départ?
Comment se fait la gestion des informations qui passent par les imprimantes et scanners (dont les espaces de stockage constituent souvent une importante source d'information)?
Là encore, il ne s'agit pas d'une vision particulièrement pessimiste et noire, mais bien d'une photo réaliste et de cas concrets que beaucoup de personnes vivent au quotidien, sans forcément s'en soucier, comme si on n'avait pas encore compris qu'il n'y avait pas la "vraie vie" d'un côté et la vie numérique de l'autre.
Les mêmes règles doivent être définies et appliquées dans les deux cas : on ne laisserait pas un document confidentiel négligemment sur le coin d'un bureau, alors pourquoi le fait-on sur un serveur?
Même au niveau des dirigeants, on a du mal à s'approprier ce problème, faute de connaissance minimale, et il parait plus simple et confortable de reléguer ce sujet comme un problème relevant uniquement de la DSI (Direction des Systèmes Informatiques), quand l'entreprise en dispose….
Et pourtant, c'est bien au niveau du top management que les décisions stratégiques, y compris sur l'orientation de la politique numérique, doivent être prises.
Pour qu'une organisation et une stratégie soient efficaces, en numérique comme dans n'importe quel domaine, il faut que le dirigeant (ou l'équipe dirigeante) s'approprie la démarche et se positionne sur sa vision du risque en se questionnant sur ce qui serait problématique en cas de défaillance. En abordant le problème sous cet angle, il est plus facile de se rendre compte de l'importance de ces sujets dans le fonctionnement actuel des entreprises.
La sécurité informatique, comme tout processus de gestion des risques en général, c'est surtout de la prévention, mais ça n'est pas forcément suffisant.
Il faut également se poser la question de la manière de régir en "mode dégradé", voire en situation de crise car le risque 0 n'existe pas et il serait dangereux , voire inconscient, de penser que tout est maitrisé.
Il faut donc commencer par se pencher sur la conformité et les règles de base, s'assurer qu'elles sont comprises et appliquées avant de se lancer dans des démarches et campagnes surfant sur des tendances ou tentant de "disrupter" des pratiques.
Si on ne dispose pas de fondations solides, l'ensemble de la structure sera bancale.
Ainsi, à l'occasion de cette journée NetSecure Day 2018, j'ai donc pu participer à 2 présentations/conférences animées par des experts dans leurs domaines et répondant tout à fait à mes attentes.
Services en ligne : comment concilier vie privée et personnalisation par Tristan Nitot
Tristan Nitot est quelqu'un qui est souvent qualifié d'"activiste" dans le domaine de la protection des données personnelles, il a notamment été co-fondateur et président de la fondation Mozilla Europe, membre du Conseil National du Numérique. Il est actuellement membre du comité de prospective de la CNIL (comité d’experts qui contribue aux débats sur l’éthique du numérique) et a rejoint l'équipe du moteur de recherche Qwant, alternative à Google, neutre et ne collectant pas les données personnelles.
"La concentration des données sert à la surveillance de masse, à l'espionnage et au pistage publicitaire."
C'était une conférence plutôt orientée sur les usages à titre individuel, à base de pédagogie, mais ces bonnes pratiques individuelles restent tout aussi pertinentes dans un cadre professionnel.
Il prône ainsi une éducation à l'hygiène numérique, ce qui doit également être le cas en entreprise, en appliquant des règles de bases, comme évoqué ensuite dans la journée par l'ANSSI.
ANSSI - Rétrospective 2018, évènements et nouveautés par Renaud Echard
Renaud Echard est le délégué à la sécurité numérique pour la région Normandie, représentant de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en région depuis novembre 2017, spécialiste des questions de sécurité numérique, de conduite de projets et d’intelligence économique.
Cette conférence avait plus une approche orientée cybersécurité (entreprises) et cyberdéfense (états).
C'était l'occasion de revenir grâce au filtre expert de l'ANSSI sur quelques nouveautés de l’année écoulée, en terme de réponses aux menaces. Cette intervention a également permis de rappeler (ou simplement présenter) les bonnes pratiques face aux risques numériques.
Les sujets présentés rejoignent ce que j'évoquais plus haut, à savoir le manque d'éducation et de connaissance numériques, avec l'image de l'informatique comme solution "miracle", voire "magique".
Les menaces les plus fréquentes concernent des escroqueries. Par exemple, le piratage de l'adresse e-mail du contact d'une entreprise qui demande à un service comptable et financier d'opérer un changement d'IBAN pour réaliser des virements (ces arnaques ne sont pas des fables, j'en ai rencontré dans mon parcours, sur de très fortes sommes ; "plus c'est gros, plus ça passe").
Il a également mis en avant les usages à risques: la mobilité, les dispositifs de réseaux et connections sans fil, le stockage à distance ("cloud"), autant dire le fonctionnement de bon nombre d'entreprises actuellement.
Dans le même temps, on apprend que 80% des entreprises sous-traitent leur système informatique à des prestataires extérieurs (pour des raisons de compétences et de coûts) donc à des entreprises qui en savent potentiellement plus qu'elles sur leur propre système, et sur lesquelles on a forcément moins la main en matière de contrôle, de suivi, d'assurance qualité, etc.
Il faut donc être bien vigilant quant à ce type de prestation.
Globalement, ces deux conférences ont abordé des sujets assez semblables et ont rappelé que la sécurité informatique, la gestion des données est un problème qui combine l'humain, la technique et l'organisationnel.
Et chez vous, ça se passe comment?
Pour aller plus loin:
Le site de NetSecure Day: https://www.netsecure-day.fr/
Moteur de recherche Qwant: https://www.qwant.com/
ANSSI : Le site de l'ANSSI: https://www.ssi.gouv.fr/
Bonnes pratiques de l'ANSSI (guides techniques et guides méthodologiques)
MOOC (cours en ligne gratuit): https://secnumacademie.gouv.fr/
Sur le site du Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN): http://www.sgdsn.gouv.fr/ :
Si cet article vous a plu, faites-le connaitre à votre entourage en le partageant !