Interview d’Alain Bouillé Président du CESIN*

 

SDBR : Le CESIN a fait réaliser par l‘institut de sondage OpinionWay une grande enquête sur la perception de la cybersécurité et de ses enjeux au sein des grandes entreprises françaises. Pourquoi cette enquête ?

AB : L’idée de ce baromètre est d’en faire un outil récurrent annuel sur l’état de la cybersécurité et sa perception par les grandes entreprises françaises. Paradoxalement, il y a abondance de rapports et de publications autour de la cybercriminalité, mais une grande majorité d’entre eux sont issus d’études faites par des éditeurs, ce qui n’est pas sans arrière-pensées de leur part car ils ont des produits à vendre. D’autres études sont régulièrement produites par de grands cabinets internationaux de conseils, mais leurs conclusions ne s’appliquent pas forcément en Europe, et en France en particulier, car elles s’appuient souvent sur des faits américains qui déforment l’image de notre réalité locale. Exemple : un grand cabinet avait annoncé la baisse en 2015 des budgets d’équipements de cybersécurité car les américains qui ont beaucoup acheté sont en pleine mise en place de systèmes ; la réalité est complètement différente en France ! Donc la première motivation de l’étude Cesin-OpinionWay a été de vouloir faire apparaitre, grâce aux 250 entreprises représentées dans notre Club, une image réelle de la situation en France, avec des chiffres sincères et de vraies tendances. La deuxième raison est d’en faire un marqueur qui sera publié chaque année et de promouvoir ainsi l’image du Cesin.

 

Quelle est la place de la cybersécurité dans les grandes entreprises aujourd’hui d’après votre étude ?

Beaucoup parlent aujourd’hui de la digitalisation des entreprises, souvent légèrement, et nous ne savons plus très bien à quelle réalité cela fait référence. Cette digitalisation n’est en fait pas une mode mais bien une réalité qui se traduit par plusieurs phénomènes. La digitalisation vue de l’intérieur : les salariés vont être davantage connectés, on parle « d’extrême mobilité » avec l’utilisation de « devices » multiples (BYOD), l’utilisation de services de collaboration de plus en plus débridés etc., donc un nouveau mode de travail en interne. La digitalisation vue de l’extérieur : pour les clients avec davantage d’outils qui leurs sont proposés, etc. L’étude a donc montré que 93% des RSSI considéraient que le digital était devenu un enjeu stratégique pour leur entreprise ! Donc c’est une réalité qui dépasse largement la nomination ici ou là d’un CDO (chief digital officer). Par contre, pour nous en charge de la sécurité, la digitalisation se traduit par des portes et des fenêtres qui s’ouvrent à tous vents sur des systèmes d’information qui vont être davantage éparpillés : mobilité, BYOD, Cloud, shadow IT, etc. Il faut y ajouter les applications ouvertes aux clients et s’interroger sur la qualité des postes de travail (que nous ne contrôlons pas) qui se connectent aux plateformes… La digitalisation change donc la donne pour l’entreprise et, bien évidemment, nous ne pourrons tout contrôler et tout protéger dans un monde éclaté. Donc, il faudra choisir ses cibles. Mais si 93% des sondés disent que le digital est stratégique, 88% disent aussi que la sécurité des SI est importante. Voilà l’enjeu.

 

Est-ce que les personnels d’entreprises sont réceptifs aujourd’hui au risque cyber ?

La sensibilisation à la sécurité est compliquée et le sera encore plus à l’avenir. Au risque de prendre les utilisateurs pour des enfants, la sensibilisation à l’hygiène informatique a eu du bon, avec des messages assez simples et de bon sens. Aujourd’hui, la sophistication des attaques et la motivation des attaquants que nous observons rendent plus difficiles les messages de sensibilisation. De plus en plus il va être difficile de distinguer le vrai du faux dans nos boites mails, par exemple. Donc il sera plus difficile d’en vouloir à un utilisateur qui aura été abusé par un moyen sophistiqué. Il faudra que les outils de protection soient plus efficaces et que l’on fasse moins reposer la sécurité de nos patrimoines sur la vigilance des utilisateurs

 

Sur la réalité des cyber-attaques auxquelles les entreprises sont exposées, quel est l’enseignement de votre enquête ?

Il y a une quinzaine d’années, la vente massive de produits de sécurité informatique était basée sur le marketing de la peur et n’était pas toujours justiée car les entreprises étaient peu exposées et nous nous protégions de maux et d’incidents qui n’arrivaient que très rarement. Bien sûr, nous pouvons considérer que les grandes entreprises, étant maintenant en capacité de détecter les attaques, sont à même de les découvrir contrairement au passé. Mais aujourd’hui, tout a changé : si les attaques sont mieux détectées, elles sont bien plus nombreuses aussi. Exemple : le virus Dridex**, apparu à l’été 2015 caché dans des factures factices jointes aux emails envoyés à des millions de personnes, avait pour objectif de prendre le contrôle du poste de travail, pour ensuite récupérer les informations de connections des banques en ligne de l’utilisateur ; l’attaque visait des individus et non les entreprises, mais le danger venait tout de même de postes qui pouvaient être infectés or, au sein du Cesin, nous avons constaté que la prise de conscience du danger n’était pas la même chez tous nos adhérents…  

Autre enseignement intéressant de l’enquête, 80% des RSSI ont constaté au moins une cyber-attaque sur leur entreprise en 2015, la moyenne s’établissant à 13 attaques en 2015, soit plus d’une par mois. Contrairement à ce que clament les rapports dont nous parlions au début, ce ne sont pas les fuites d’informations, les vols de données personnelles et les attaques virales générales qui sont constatées dans les faits comme les plus fréquents mais les ransomware (61%), les attaques virales générales (44%), les attaques par déni de service (38%) et les attaques ciblées (35%) ! Cela signie que le perçu médiatisé cache la réalité du terrain.

 

Est-ce qu’il existe des outils technologiques permettant aux entreprises de mieux se défendre ?

Nous avons vécu une décennie pendant laquelle, à l’apparition de chaque nouveau danger, on nous expliquait qu’il fallait acheter un nouvel outil : pare-feux, pare-feux applicatifs, outils de détection pour remplacer les outils de prévention, outils anti-APT, etc. Certains éditeurs refont le design d’un ancien produit qui est alors rebaptisé nouveau produit, certains font vraiment de l’innovation (encore faut-il les repérer pour les encourager), d’autres enfin font de la consolidation d’offres, après s’être rachetés entre eux, pour offrir le « tout en un ». Or, dans la vraie vie de l’entreprise, ça ne marche pas comme cela. Si les responsables des SI n’ont pas une vraie réexion d’architecture pour leur environnement, ils risquent de se retrouver avec des empilements de briques qui ne les protègent pas vraiment. Puisque les virus (Dridex, Cryptolocker, etc) passent, même dans les grandes entreprises, c’est bien la preuve qu’elles sont mal protégées ou que les technologies utilisées sont inefficaces !   Le message du baromètre aux éditeurs est de leur dire : au lieu de vouloir nous vendre du « tout en un » en éliminant les briques existantes de leur concurrent, faites preuve d’innovation et de pragmatisme pour utiliser l’existant et pour éventuellement le compléter dans un souci d’efficacité. Autre enseignement intéressant de l’enquête, 80% des RSSI ont constaté au moins une cyber-attaque sur leur entreprise en 2015, la moyenne s’établissant à 13 attaques en 2015, soit plus d’une par mois. Contrairement à ce que clament les rapports dont nous parlions au début, ce ne sont pas les fuites d’informations, les vols de données personnelles et les attaques virales générales qui sont constatées dans les faits comme les plus fréquents mais les ransomware (61%), les attaques virales générales (44%), les attaques par déni de service (38%) et les attaques ciblées (35%) ! Cela signifie que le perçu médiatisé cache la réalité du terrain.

 

Quel est le constat en termes de moyens budgétaires et de moyens humains ?

Les RSSI les jugent en majorité globalement insuffisants pour lutter efficacement contre la menace cyber sur les entreprises : 64% considèrent les budgets d’investissements insuffisants et 69% jugent insuffisants les moyens humains alloués par l’entreprise. Bien sûr, toutes les entreprises ne sont pas au même niveau d’investissement en moyens techniques, mais la tendance est révélatrice. En quelques années cependant, des progrès importants ont été faits dans ce domaine et, même si d’autres restent à faire, nous pouvons dire que plus aucun décideur n’ignore la question au sein de l’entreprise. Le problème est différent au sein des PME qui sont très sous-équipées. Concernant les moyens humains, c’est un autre aspect qui est soulevé : nous faisons face à un vrai déficit de compétences qui empêche les entreprises ayant la volonté d’embaucher de pouvoir le faire !

 

Donc vous faites le même constat que les agences de type ANSSI, ou les groupes comme Orange ou Thales…

C’est encore plus exacerbé dans nos entreprises, car l’image de l’ANSSI ou la taille des équipes de cyberdéfense des groupes que vous avez cités attirent les talents, ce que d’autres ont plus de mal à faire. Il faut pouvoir former les jeunes recrues, les entrainer et leur offrir des possibilités d’évolution, ce qui n’est pas toujours simple. Ces groupes ou agences assèchent donc un marché déjà insuffisant pour nourrir les besoins globaux. Comme la France ne forme pas assez d’experts en sécurité, il risque de se passer le même phénomène qui a été constaté avec les infirmières, à savoir recruter à l’étranger ! Pour ce qui concerne les RSSI il n’y a pas trop de problème, mais c’est pour les analystes, qui travaillent en nombre dans les équipes des RSSI pour superviser la sécurité dans les entreprises, que le problème est crucial.

 

Est-ce que le CESIN est prêt à s’engager sur le terrain de la formation ?

Comme nous ne trouvons pas de personnels à recruter et que nous avons du mal à les garder, nous sommes la plupart du temps forcés de recourir à la gestion de nos SOC*** par des sociétés externes. Mais elles aussi arriveront rapidement à la limite des ressources du marché, car il y a carence. Il faut qu’universités et écoles forment plus de jeunes dans ce domaine. Pour l’instant, le CESIN ne se penche pas sur les formations universitaires initiales, considérant que les grandes écoles donnent un enseignement de qualité à leurs ingénieurs. Par contre, nous commençons à nous impliquer sur certaines formations continues car nous nous rendons compte, qu’à l’intérieur des entreprises, certains métiers de l’informatique disparaissent ou se transforment sans que la reconversion vers la sécurité informatique ne soit facilitée, alors qu’il y a des volontaires. Nous regardons donc comment le CESIN pourrait valider des programmes de reconversion, voire y participer en tant que formateurs.    

 

Interview réalisée par Alain Establier