C’est la question de fond que nous nous posons depuis des mois devant tant d’attaques réussies dans tous les secteurs économiques et tous les pays (particulièrement dans les pays dont l’économie est développée). Sensibilisation et responsabilisation de l’ensemble des utilisateurs de l’entreprise, traçabilité des opérations des administrateurs et utilisateurs à pouvoirs, protection avancée contre les malwares, audits de sécurité des applications, protection et monitoring des bases de données, sécurité renforcée des données et des applications dans le cloud, etc.
Ce ne sont que quelques-unes des facettes du SI à couvrir sur le plan de la sécurité. Sans oublier le besoin urgent de renforcer les moyens des CISO, RSSI, auditeurs internes et autres Responsables de la sécurité opérationnelle : renforcer les moyens matériels, les moyens de contrôle, les capacités de supervision et d’analyse constante de la sécurité, recruter, former et motiver des data-analystes. Enfin, il est important de donner le pouvoir aux RSSI d’appliquer des pénalités strictes, autant en interne, à telle ou telle direction métier ne respectant pas, par exemple, le PSSI (Plan de Sécurité des Systèmes d’Information) de l’entreprise, qu’auprès de sous-traitants (mainteneurs, outsourceurs, call-centers, ah les call-centers avec leurs jeunes collaborateurs à forte ‘’mobilité externe’’ et leur pouvoir d’accéder aux informations les plus sensibles des clients…).
Tout cela nécessite l’implication forte, énergique et constante dans le temps, de la Direction Générale de l’Entreprise.
Récemment un bon ami, DSI d’une grande entreprise française dans le domaine des services, réalisant plus de 10 milliards d’euros de chiffre d’affaires et plus d’un milliard sur le Net, me racontait, devant le choc de l’événement Gemalto – car c’est un choc pour des ingénieurs comme nous, pour qui Gemalto, ex-Gemplus, représentait un étalon en sécurité des données – qu’au sein d’une célèbre association de DSI de grandes entreprises françaises, peu de participants avaient entendu parler de l’affaire Target du début 2014, affaire de piratage et de vol de données personnelles de plus 100 millions de citoyens américains, et qui avait coûté le poste au PDG de l’entreprise !
Étonnante situation ! Nous sommes en 2015, les usages d’Internet explosent partout et pour tous, réseaux sociaux e-commerce, e-banking, plus que jamais le be’’e’’ or be eaten est l’obligation des entreprises classiques, et pourtant certains grands DSI de belles entreprises françaises ne sont pas au courant de cet événement, qui avait fait les titres de la presse informatique et généraliste ?! Ont-ils entendu parler du hacking, cyber-sabotage et vol de données ayant frappé Sony Pictures récemment ou même actuellement de Gemplus ? Ce n’est que récemment que cette même association française a lancé un chapitre Sécurité SI ! Mieux vaut tard que jamais, mais quand même….
Même France 2 dans son journal urbi et orbi de 20h parle régulièrement cyber-sécurité… et récemment RTL a même interviewé le président du Cesin, principale association professionnelle des RSSI, qui comme le Clusif et le CRIP, tente de fédérer, informer et sensibiliser les directions informatiques des entreprises et administrations aux dangers de la Toile. Les Responsables Sécurité des Systèmes d’Informations font donc tout pour imposer des mesures, mettre ne place des procédures, appliquer des contrôles et, le cas échéant, des pénalités aux acteurs internes ou externes ne respectant pas les exigences de sécurité ; mais concrètement, aujourd’hui en France, ils n’ont pas l’appui politique suffisant et les moyens financiers nécessaires pour assoir une vraie démarche préventive et curative de sécurité.
A chaque événement, à chaque sinistre plus ou moins retentissant, plus ou moins destructeur, le constat est le même : manque de sensibilisation, laxisme dans l’application des politiques de sécurité, absence des contrôles, etc., etc.
Le problème se situe donc au niveau de la sensibilisation des DSI qui, tous ne prennent pas la mesure des risques et n’allouent pas ensuite les ressources financières nécessaires et par conséquent, n’exercent pas un relais auprès de leur Direction Générale et des mandataires sociaux qui, eux sont légalement et pénalement responsables des éventuels sinistres.
Heureusement que depuis la nouvelle loi de programmation militaire LPM, les entreprises ont l’obligation de faire remonter les incidents auprès de l’Agence Nationale de Sécurité des Systèmes d’Information, pour qu’elle puisse les recouper avec d’autres attaques, intervenir en renfort et par la même occasion informer le grand public et les entreprises des événements de sécurité, de piratage des acteurs économiques.
Nous vivons donc dans un grand laxisme sur ces sujets de sécurité, doublé d’un déficit de sensibilisation aux dangers, aux risques courus par les utilisateurs, en entreprise ou dans la vie privé. Dangers et risques impactant potentiellement chaque moment de la vie, car un vol d’identité, un piratage de comptes bancaires, une campagne d’espionnage d’une entreprise peuvent causer des dégâts irrémédiables. Du pain sur la planche pour les avocats !
_______________
Théodore-Michel Vrangos est cofondateur d’I-Tracing