Evénement devenu incontournable en Europe, la 9e édition du Forum International de la Cybersécurité ouvre ses portes aujourd’hui et attend plus de 5 000 participants dont un millier de pays étrangers.

Le FIC se présente comme « l’évènement européen de référence réunissant tous les acteurs de la confiance numérique » avec pour cette neuvième édition les interventions de Bruno Le Roux, ministre de l’intérieur, Julian King, commissaire européen à la sécurité, Stéphane Richard DG d’Orange et Guillaume Poupard, DG de l’ANSSI qui milite pour une prise en charge par tous pour construire un futur numérique sécurisé (voir encadré ci-dessous).

« Tous responsables d’un futur numérique sécurisé »

Pour l’ANSSI, la sécurité du numérique est l’affaire de tous. Dirigeants, responsables informatiques, employés : chacun est responsable de ses usages et a un rôle à jouer face à la multiplication des menaces et au développement croissant du numérique.
Guillaume Poupard doit présenter les dernières actualités de la directive NIS et des nouveaux arrêtés sectoriels pour la cybersécurité des OIV (organisations d’intérêt vital) et détailler également les actions menées par l’ANSSI :
– La formation : SecNumedu, label de formations initiales en cybersécurité de l’enseignement supérieur ;
– La sécurité du Cloud : SecNumcloud (référentiel d’exigences applicables aux prestataires de services d’informatique en nuage) et ESCloud (label franco-allemand pour les services d’informatique en nuage de confiance) ;
– La coopération internationale : l’initiative lancée par l’ANSSI et le ministère des affaires étrangères et du développement international pour « la paix et la sécurité dans la société numérique ».

La Cybersécurité sera le sujet majeur de cette 9e édition qu’il s’agisse des entreprises, des gouvernements et même des particuliers. Les dirigeants européens l’ont compris. Selon l’assureur britannique Lloyd, plus d’un chef d’entreprise européen sur deux positionne la cybersécurité parmi leurs priorités. Et désormais cette question ne peut plus s’envisager au seul niveau d’un état. L’Europe l’a compris et a décidé d’investir 450 M€ pour la recherche dans le cadre d’un partenariat public-privé. Dans le cadre de l’initiative « Renforcer le système européen de cyber-résilience et promouvoir la compétitivité et l’innovation dans le secteur européen de la cybersécurité » lancée en juillet par la Commission pour renforcer le système européen de cyber-résilience, plusieurs axes ont été explorés. D’abord, le renforcement de la coopération pour la préparation d’un exercice pour vérifier la cyber-résilience des infrastructures critiques. Ensuite, la Commission entend sensibiliser les entreprises autour d’une certification des produits au niveau européen.

Fin décembre, l’Organisation pour la sécurité et la coopération en Europe (OSCE) avait indiqué avoir été victime d’un important piratage informatique un mois plus tôt qui pourrait être attribué à des hackers proches des services secrets russes décidément bien actifs. Leur action à l’occasion des élections américaines n’est pas encore clairement élucidée. Le nombre d’attaques sont désormais le lot quotidien des Etats. Jean-Louis Le Drian a annoncé récemment que 24 000 cyber-attaques avaient été déjouées en 2016.

La directive NIS a permis de mettre en place un réseau de coordination ainsi qu’un réseau réunissant les CERT (Computer Emergency Response Team). Mais la Commission souhaite aller plus loin avec la définition d’un schéma directeur prévoyant un plan de coordination impliquant l’ENISA, des CERT et d’Europol.

Protection des données

Exprimée comme une extension à la vie privée ou comme un droit nouveau, la protection des données à caractère personnel est en cours d’évolution. Le nouveau règlement 2016/679 du Parlement européen concernant la GDPR entrera en vigueur dès le 25 mai 2018. Ce règlement harmonise non seulement le rôle des CNIL européennes et permet par sa force obligatoire d’effacer les distorsions de traitement entre pays et enfin d’avoir le poids nécessaire dans les débats à l’international avec en tête le Privacy Shield en vigueur depuis août dernier.  Il introduira de nouvelles obligations de responsabilité, un renforcement des droits des consommateurs et des restrictions sur les flux de données internationaux. Pour les aider dans la mise en œuvre des projets visant à assurer leur mise en conformité, les entreprises peuvent s’appuyer sur les guides d’implémentation rédigés par le G29 (Groupement des CNIL européennes) dont les trois premiers ont été adoptés et publiés en décembre dernier.

En cas de non-respect de la réglementation, les entreprises contrevenantes s’exposent à des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. L’échéance de 2018 peut paraître lointaine, mais si l’on en croit IDC, « Par son ampleur, sa complexité, son coût et son importance stratégique, la mise en conformité au règlement GDPR prendra (au moins) deux ans aux entreprises ».

Et pourtant, les entreprises sont plutôt en retard. Selon les résultats d’une étude de Vanson Bourne, 18 mois de l’échéance plus d’une entreprise sur deux n’avait pas encore mis en place les mesures nécessaires pour être conformes au GDPR.

Recruter les spécialistes de la sécurité

Face aux difficultés que rencontrent les entreprises à satisfaire leurs besoins en ressources humaines affectées à la cybersécurité, l’immobilisme n’est pas une option. Il constitue même un véritable risque pour les acteurs économiques de notre pays.
Tout en œuvrant auprès des écoles et des universités pour développer ou agrémenter leurs cursus académiques en cybersécurité, les recruteurs doivent se montrer pragmatiques, ouverts et inventifs le temps que les hordes de diplômés puissent arriver sur le marché du travail et prêter main forte. Parmi les orientations à retenir :
– Les recruteurs doivent se montrer plus pragmatiques en repensant les descriptifs de poste en ne ciblant plus le « mouton à cinq pattes ». Une meilleure collaboration avec les RH est nécessaire pour aboutir à des objectifs de recrutement plus adaptés.
– Il faudrait « oser » l’ouverture aux étudiants étrangers qui fréquentent écoles et universités, quitte à les inscrire à des cours intensifs de français.
– Il est nécessaire d’être désormais inventif et de s’intéresser aux disciplines périphériques : certains besoins RH peuvent être pourvus par des talents moins pointus sur les « Hard Skills » mais beaucoup plus avisés sur les « Soft Skills ».
Le moment est venu pour décentraliser la vigie cybersécurité et « éclater » les compétences du RSSI sur l’ensemble du personnel de l’entreprise.