DIGITAL SOLUTIONS
La cybersécurité aux couleurs du partage et de l’humain
Retour sur la troisième édition du Cybersecurity Day de PwC Luxembourg
October 23, 2018
Les nouvelles technologies, on le sait, se développent à un rythme effréné. Leur évolution est telle que les humains peuvent vite se retrouver dépassés par tant de sophistication. Pourtant, lorsque l’on parle de cybersécurité, c’est bien l’humain qui est ciblé par les cyber attaques et aussi lui qui se trouve derrière celles-ci. L’humain, toujours, était au cœur de la troisième édition du Cybersecurity Day organisé par PwC Luxembourg le 18 octobre dernier, un événement qui s’inscrit dans le contexte de la Cybersecurity Week du Luxembourg. Pleins feux sur ce rendez-vous désormais incontournable qui encourage les échanges et le partage de bonnes pratiques en matière de cybersécurité.
Les nouvelles technologies : un état bipolaire ?
« On fait confiance plus vite que l’on ne peut protéger ». C’est sur ces mots que Maxim Clementz et Vladimir Kolimaga, tous deux membres de l’équipe Cybersécurité de PwC Luxembourg, ont entamé la première présentation de la journée. Le processus de la Blockchain, de l’Internet of Things et les nouvelles technologies qu’elles comprennent ont révolutionné notre société. Ces technologies s’infiltrent partout, sans même que l’on en ait conscience. Si la Blockchain a souvent été perçue comme la clé de tous les problèmes, elle n’en reste pas moins nébuleuse pour le commun des mortels. Il en est de même pour la biométrie, certes très prometteuse et utile – pensez par exemple au Touch ID lorsque vous souhaitez déverrouiller votre téléphone, ou aux contrôles d’identité plus rapides dans les aéroports – mais qui pose question en ce qui concerne la réversibilité (difficile de changer son empreinte digitale le jour où elle aura été compromise, ou copiée). La vitesse fulgurante à laquelle se développent ces technologies incite les individus à leur faire confiance aveuglément, au point d’en oublier les fondamentaux de la sécurité. En matière de cybersécurité, les nouvelles technologies constituent-elles donc le problème ou la solution ?
Guy-Philippe Goldstein, chercheur, consultant sur les questions de cybersécurité et intervenant à l’Ecole de Guerre Economique, estime que nos attentes par rapport à ces technologies sont trop élevées. Selon lui, « il n’y a rien qui ne soit pas piratable », et ces technologies ont leurs limites. Les technologies reliées à l’intelligence artificielle, et notamment le machine learning, peuvent aussi bien aider à détecter et atténuer des cyber attaques qu’à les rendre plus puissantes : les pirates informatiques peuvent en effet utiliser ces technologies pour imiter une voix ou une manière d’écrire, et donc se rendre indétectables. Plutôt que de se protéger, Guy-Philippe Goldstein préconise aux organisations d’adopter une approche résiliente leur permettant d’absorber le choc dû à une attaque, de réagir et de prévenir. Selon lui, il est essentiel de sensibiliser toutes les strates des entreprises (y compris le comité de direction) à ces enjeux, à travers des exercices de sécurité et tests récurrents.
Constat partagé par Richard Oehme, directeur Cybersecurity and critical infrastructure protection chez PwC Suède, qui a mis en lumière la vulnérabilité des infrastructures publiques face aux cyber menaces. Selon lui, ces dernières années, la digitalisation a augmenté la dépendance des Etats à la technologie, ce qui a rendu les infrastructures de plus en plus vulnérables aux cyber attaques.
Cybersécurité : cultiver l’optimisme
La cybersécurité a souvent été perçue comme un domaine très technique, au point que l’on a négligé le facteur humain qui est pourtant au centre des cyber attaques. Aujourd’hui, il devient crucial de développer une culture de la sécurité davantage centrée sur les individus. L’enjeu est de les sensibiliser aux cyber risques, mais d’une manière plus engageante et plus percutante. C’est le point de vue de Jessica Barker, experte mondiale des facteurs humains de la cybersécurité. Dans un environnement où les individus reçoivent des emails en permanence, leur vigilance a tendance à baisser et il devient donc plus simple pour les pirates informatiques de les détourner des règles de sécurité… et de les manipuler. La plupart du temps, les pirates utilisent des techniques faisant appel aux émotions pour faire tomber leur cible dans leur piège (attiser leur curiosité, flatter leur ego ou encore les tenter).
Dans ce contexte, afin de sensibiliser les individus aux cyber risques, Jessica Barker est partisane d’une approche plus positive de la cybersécurité. Elle préconise de se concentrer sur les bonnes pratiques de chacun au lieu de pointer leurs faiblesses. Cultiver cet optimisme engendrera des comportements plus vigilants et des individus plus conscients des risques, que ce soit au sein des organisations mais aussi dans la société au sens large.
« La cybersécurité ne peut plus être envisagée uniquement d’un point de vue technique. Aujourd’hui, l’humain est plus que jamais au centre du processus, souligne Vincent Villers, associé et Cybersecurity Leader chez PwC Luxembourg. Les enseignements tirés de ce Cybersecurity Day nous montrent que le partage et la positivité faciliteront la prise de conscience de toutes les parties prenantes de la société autour des enjeux liés à la cybersécurité ».
À l’issue de cet événement, deux des huit entreprises qui ont présenté sur scène leurs solutions en matière de cybersécurité ont été récompensées. Le prix du jury a été décerné à l’entreprise suédoise Detectifyet le prix du public à la société suisse Hacknowledge.
Le rôle renforcé du CISO
Cet événement a également été l’opportunité de présenter les tendances de la dernière CISO survey de PwC Luxembourg, réalisée en collaboration avec le CPSI (Collège des Professionnels de la Sécurité de l’Information), disponible prochainement. Les résultats ont permis d’analyser l’évolution du rôle du CISO ces deux dernières années au Luxembourg. Et le bilan est plutôt positif : malgré le fait que le CISO est toujours peu intégré dans les comités de direction (seulement 13% y occupent un siège), il est aujourd’hui considéré non plus uniquement comme un expert technique mais aussi comme un véritable gestionnaire de risques. L’étude montre également que 76% occupent aujourd’hui cette fonction à temps plein, contre 53% il y a deux ans.
Quid de la protection des données ?
Six mois après l’entrée en vigueur de la GDPR, PwC Luxembourg a souhaité en savoir plus sur l’implémentation de cette régulation au sein des organisations du pays. Lors de son Cybersecurity Day, la firme a lancé l’enquête “6 Months into the application of GDPR, Luxembourg market status: Smooth Sailing or Hot Water?”. PwC Luxembourg publiera les résultats de cette étude le 12 décembre prochain – envoyez un email à pwc-events@lu.pwc.com si vous souhaitez vous inscrire.