Plénière #5 : Pourquoi les risques sur les systèmes d'information sont-ils appelés à croître ?

Vendredi 13 avril 2012 – 11H30. Il est temps de quitter le sujet des réseaux sociaux publics ou privés, qui aura animé une large partie des débats lors de cette seconde édition de l’IT for Business Forum, pour aborder la question sensible de la cybercriminalité. Pour approfondir cette thématique, la quatrième plénière s’est appuyée sur une table ronde intitulée plus précisément « Cybercriminalité économique et industrielle, vol de données : comment protéger son entreprise des nouveaux pirates du business ? » Ne pas protéger ses actifs contre les cyberpirates peut occasionner de gros dégats. Sony l’a constaté à ses dépens. Il y a quelques mois, le fabricant s’est fait piraté plusieurs de ses sites internet, victime du vol de données (personnelles et bancaires) de 52000 utilisateurs.

Pas étonnant à ce que « 72% des 1700 dirigeants interrogés voient les risques sur les systèmes d’information augmenter nettement dans les prochaines années », a expliqué, en substance, Michel Richard, associé chez Ernst & Young Advisory. Lequel se faisait l'écho de la 14ème enquête mondiale d'E&Y sur la sécurité de l'information. Pour lui, le risque d’exposition du SI va croître avec la consumérisation de l’IT et avec le phénomène connexe du BYOD (Bring Your Own Device). Autrement dit, l’introduction des terminaux privés au sein de l’entreprise va créer de nouvelles vulnérabilités. Selon lui, les réseaux sociaux d’entreprise, encore eux, posent également question. « Beaucoup d’entreprises hésitent à autoriser leur usage », parce que, là encore, la frontière entre vie privée et vie publique s’amenuise.

L’obligation de l’entreprise de notifier la CNIL en cas d’intrusion

Face aux menaces de la cybercriminalité, il est surprenant d’entendre que « la sécurité n’est pas un poste d’investissement prioritaire quand il s’agit de faire des arbitrages sur le budget IT, comme l’a rappelé Michel Richard. Le ROI lié au déploiement de systèmes de sécurité n’est pas immédiat. » Chez Bazarchic.com, la cybercriminalité, on connaît bien pour l’avoir subie. Liberty Verny, Fondateur et PDG de ce site marchand, a accepté de venir témoigner de son expérience à visage découvert.

Quand il a été constaté que le taux de vol lié à des identités bancaires, en passant par la plate-forme 3D Secure, atteignait de 1,5% à 3% avec certains organismes bancaires, Liberty Verny a réorienté ses procédures de sécurité : « Nous sommes remontés en amont pour étudier les comportements types de nos internautes. » Il a été décidé de mettre en place des systèmes de tracking et des méthodes permettant de détecter tout écart-type par métier. Toute déviance par rapport aux comportements types fournit une indication de tentative d’escroquerie, et déclenche la coupure des accès.

Les entreprises ont-elles à se conformer à des obligations juridiques en matière de sécurité ? Mathieu Prud’homme, Directeur du département Internet contentieux du Cabinet Alain Bensoussan Avocats, n’a pas manqué de présenter un tout nouveau décret, sorti en mars dernier, qui stipule qu’« en cas de violation de données personnelles, une entreprise, victime d’intrusion, sera dans l’obligation de notifier la CNIL des failles constatées et des mesures engagées pour y remédier. » Elle sera même tenue d’en informer ses clients.

« Il faut accepter une part de risques »

« Quand une entreprise est victime de piratage, elle doit déposer plainte, a conseillé le Commandant Rémy Février, Officier de gendarmerie, Expert de l’Intelligence Économique. Certaines considèrent que couvrir une perte de données coûte moins cher que d’investir dans des dispositifs de sécurisation. C’est une mauvaise démarche, et un encouragement au crime. »

Mais qu’en est-il des solutions de protection contre ces risques ? Tout d’abord, « il faut savoir que la plupart des failles sont dans le code source d’une application, a signalé Julien Champigny, Directeur Sécurité de BT. Et dans ce cas, le pare-feu ne sert à rien. » Lequel a conseillé les entreprises à engager des actions de prévention et non plus seulement de réaction. « Il faut définir quels sont ses actifs critiques, a dit Julien Champigny. Tout n’est pas sécurisable, il faut accepter une part de risques. » Pour Liberty Verny, qui a déployé des filtres pour détecter les dérapages, il faut aussi faire « un gros effort de sensibilisation des collaborateurs et leur demander de redoubler de vigilance. » Et Michel Richard de conclure : « la sécurité du SI est souvent perçu comme un frein, surtout quand on demande par exemple aux utilisateurs de retenir des codes d’authentification beaucoup trop complexes. Il faut revenir à plus de simplicité. »