Sécurité: «Ne jamais sous-estimer le facteur humain»

La cybersécurité est un sujet complexe, et parfois même effrayant, trop souvent négligé par les entreprises. Pourtant, les risques de cybersécurité sont une dure réalité à laquelle absolument toutes les entreprises, quelle que soit leur taille et leur domaine d’activité, sont confrontées aujourd’hui.

Le Luxembourg Digital Innovation Hub propose, via la Luxembourg House of Cybersecurity des évaluations de maturité en cybersécurité, qui permettent aux entreprises d’obtenir une vue d’ensemble claire de leur situation réelle, de manière simple et pragmatique. 

Regards croisés avec Anitha Arulrajakuma, Information Security Analyst à la Luxembourg House of Cybersecurity, et Mickael Desloges, Senior Advisor ‑ Assessments & Roadmaps chez Luxinnovation. 

Pourquoi la protection des données reste-t-elle un enjeu crucial aujourd'hui?

Anitha Arulrajakuma – Dans un monde digital hyperconnecté, les données, en particulier les données personnelles et professionnelles, sont primordiales. Nous avons vu de nombreux exemples de perte de confiance envers les marques après une violation de données. Il est donc essentiel qu’elles soient protégées au mieux. 

Mickael Desloges – Les données sont devenues le nouvel or noir. Leur gestion et leur exploitation aident les entreprises à améliorer leur productivité, à réduire les coûts, à optimiser les processus, à prendre des décisions... Si ces données deviennent soudainement indisponibles ou corrompues, les entreprises peuvent cesser de travailler ou faire de mauvais choix. En outre, si ces données finissent entre les mains de concurrents, cela peut leur donner un avantage stratégique décisif.

Quels sont les différents risques à prendre en compte (cyberattaques, environnement, incendie, personnel, etc.) ?

MD – Tous! Le premier danger, pour une PME notamment, est de se dire qu’elle est trop petite pour être une cible intéressante pour des cybercriminels. Et que même si c’est le cas, la technologie la protégera. Il est essentiel de ne jamais sous-estimer le facteur humain.

Ensuite, il est clair qu’au-delà de toute considération cyber, une entreprise, quelle qu’elle soit, se doit de respecter les normes de sécurité à tous les niveaux, y compris purement logistiques ou organisationnels. 

La loi prévoit des amendes lorsque les données ne sont pas bien protégées. Anitha Arulrajakuma, Luxembourg House of Cybersecurity

AA – Des technologies opérationnelles (OT) compromises peuvent provoquer des ruptures dans le processus de production, des dommages physiques, des incidents environnementaux, voire des risques pour la sécurité humaine. C'est pourquoi des contrôles périodiques de sécurité de ces OT doivent permettre à toute entreprise de détecter les faiblesses avant que des cybercriminels ne les exploitent ou bien qu’un facteur extérieur, par exemple météorologique, ne viennent menacer l’intégrité des installations ou des systèmes. 

Il faut savoir aussi que la loi prévoit des amendes lorsque les données ne sont pas bien protégées.

En quoi consiste les évaluations de maturité en cybersécurité?

AA – Il s'agit d'une évaluation en ligne qui aide les entreprises à identifier leurs éventuels points faibles, c'est-à-dire les systèmes qui détiennent ces données cruciales et leur environnement. Savoir où se situe un potentiel – ou réel – problème peut aider à agir de manière proactive afin de sécuriser les informations de votre organisation.

MD – C'est clairement une occasion pour chaque entreprise de prendre du recul et de se poser les bonnes questions: celles auxquelles elles ne pensent pas forcément. Cela leur permet aussi de revoir l'état actuel de leur protection en cybersécurité. Pour résumer, le propos est: «Êtes-vous là où vous pensez être?»

Comment se déroule le processus? 

AA – La première étape à envisager est de rassembler tous les membres de l'équipe concernée afin de pouvoir répondre aux questions de la manière la plus pertinente et transparente possible, en s’appuyant sur des documents et des données concrètes. 

L'évaluation qui suit va générer un score de maturité et des recommandations dans un rapport qui donne à l’entreprise une vue à 360 degrés de sa posture en sécurité de l'information ou en cybersécurité. Le mécanisme de notation utilisé est basé sur des standards industriels. Cette évaluation couvre pas moins de 18 domaines de sécurité et vérifie 59 points de contrôles.

Le premier danger, pour une PME notamment, est de se dire qu’elle est trop petite pour être une cible intéressante pour des cybercriminels. Mickael Desloges, Luxinnovation.

MD – Ce rapport permet d’envisager un premier ensemble de mesures appropriées permettant d’améliorer la sécurité de l'infrastructure existante.

Quelles sont les étapes suivantes une fois que le rapport est établi? 

AA – Les entreprises qui se voient remettre le rapport peuvent évidemment le débriefer en interne. Ils peuvent ensuite se tourner vers les experts du L-DIH afin de discuter de cas d'usage spécifiques et d’envisager une planification de mise en œuvre. Il est par exemple possible de s’inscrire au pack ‘Cybersecurity value’ qui comprend, notamment, des exercices grandeur nature au sein du simulateur Room 42 et des sessions de sensibilisation à la cybersécurité pour votre équipe. Room42 consiste en un exercice de gestion de crise qui vous aidera à mieux vous préparer si celle-ci survient.

MD – Un des atouts de ce processus est qu’aucune préparation spécifique n’est nécessaire et qu’il en ressort des suggestions personnalisées de services et d’outils d’assistance en fonction des besoins et de la stratégie de cybersécurité de l’entreprise.