Face aux menaces croissantes pesant sur les systèmes d’information (SI) des entreprises et des organisations, se protéger devient le problème de tous. Il est plus que jamais nécessaire de mettre en place une approche adaptée aux nouvelles réalités que sont l’évolution constante de la menace et les enjeux majeurs de la « digitalisation » de l’entreprise.
Cybersécurité et protection des systèmes d’information étaient au cœur du dernier séminaire Governance, Risk and Controls organisé par PwC Luxembourg le 26 février. Cet évènement a rassemblé quelque 50 professionnels de l’audit interne, de la sécurité informatique et de la gestion des risques, venant de secteurs d’activités variés.

Intégrer la cybersécurité dans la stratégie de l’entreprise

« Nous évoluons dans un monde hyper connecté. Les entreprises ne vivent pas en vase clos, elles communiquent avec leurs clients, leurs fournisseurs, et de nombreux intermédiaires, par leur système d’information. Le modèle opératoire (Operating Model) est fondamentalement ouvert. Le SI, c’est le centre névralgique sur lequel repose leurs activités. A ce titre, sa sécurisation doit être intégrée dans la stratégie de l’entreprise, » rappelle Vincent Villers, associé et IT Security Leader chez PwC Luxembourg.

La sécurité des systèmes d’information dépasse largement les frontières traditionnelles des directions des SI et se focalisent aujourd’hui sur les directions métiers ou fonctionnelles. Les cyberattaques sont citées par les experts comme un des risques les plus importants pesant sur l’activité de leur entreprise . Grâce aux technologies de l’information et de la communication actuelles, les entreprises gagnent en efficacité et en agilité. Mais elles doivent aussi pour se développer instaurer un climat de confiance – confiance dans la protection des données, dans la sécurité de leur SI, dans la disponibilité de leurs services… – indispensable pour leurs relations avec leurs clients, fournisseurs, partenaires, intermédiaires. « L’entreprise tirera avantage de sa maîtrise des risques notamment en la communiquant auprès de ses nombreux interlocuteurs, tant ses partenaires que ses investisseurs car elle augmentera leur niveau de confiance dans sa bonne gestion. Ce qui était un investissement de protection au départ se transformera en réel investissement productif, » poursuit Vincent Villers.

L’échange d’informations et de bonnes pratiques sur les questions de sécurité est aussi un des moyens de lutter contre la cybercriminalité. Au Luxembourg, CIRCL (Computer Incident Response Center Luxembourg) a recensé en 2013 plus de 35000 incidents, contre 10000 en 2012. Au total, plus de 950 cas touchant tous les secteurs d’activités majeurs du Grand-Duché étaient considérés comme importants. Cet organisme, chapeauté par le groupement d'intérêt économique SMILE (Security Made In Lëtzebuerg) a pour mission de prévenir et de réagir face aux incidents de sécurité informatique. Pascal Steichen, Managing Director de SMILE insiste sur la vigilance indispensable en matière de sécurité informatique : « il n’y a pas d’incidents mineurs. En raison de l’hyper connectivité que nous connaissons aujourd’hui et de la généralisation d’internet sur les ordinateurs, tablettes et smartphones, un petit incident peut vite faire boule de neige. Et les cybercriminels n’ont pas de frontières. »

Anticiper les cyberattaques pour mieux y répondre

L'augmentation du nombre d'incidents techniques, tant au Luxembourg que dans le monde entier, montre que les réseaux de cybercriminalité sont en pleine expansion. Motivé par l’exploit technique ou l’appât du gain, leur mode de fonctionnement est souvent proche de celui des entreprises, avec ses chercheurs et techniciens, des distributeurs et des opérationnels.

Au travers de plusieurs exemples récents de cyberattaque, les experts de PwC Luxembourg ont durant ce séminaire mis en évidence plusieurs mesures qui auraient pu permettre de les prévenir : identifier les fonctions et informations clés, recenser les risques et les hiérarchiser, prévoir les plans d’urgences… Acheter des pare-feu, antivirus et autres équipements pour que le système d’information soit sécurisé n’est plus suffisant. En matière de cybersécurité, le risque zéro n’existe pas.

« Pour évaluer les risques et augmenter son niveau de sécurité, une entreprise doit aussi prendre en compte l’ensemble de son écosystème : sous-traitants, partenaires, clients, fournisseurs, prestataires… Il faut préparer des procédures spécifiques à suivre en cas de cyberattaque. La réponse n’est pas uniquement technique ; elle doit aussi intégrer les points de vue juridique, commercial, opérationnel, et humain» explique Vincent Villers.

En effet, au-delà des aspects techniques ou technologiques à disposition des entreprises et organisations, le facteur humain ne doit pas être négligé. Une bonne sensibilisation du personnel à la cybersécurité peut aussi permettre de déjouer des méthodes beaucoup moins sophistiquées des cybercriminels comme le phishing ciblé. Au Luxembourg, 124 cas d’attaque par phishing ont été traités par CIRCL en 2013.

« Grâce à notre équipe de près de 80 experts au sein du département Governance Risk and Controls, dont une vingtaine d’experts en sécurité et gestion du risque de l’information, nous pouvons chez PwC Luxembourg aider nos clients, quel que soit leur secteur, à se prémunir ou éventuellement réagir efficacement contre les risques. Ils peuvent ainsi se concentrer sur leur cœur de métier. L’expertise du réseau PwC en matière de gouvernance d’entreprise et gestion des risques a d’ailleurs été récompensée récemment par l’IDC dans son rapport Marketscape report , » conclut Vincent Villers.