Vincent Maret (Associé KPMG) « La cyber sécurité, un dossier vital pour l’entreprise »

Qu’il s’agisse des comptes Facebook ou de l’appli de running Strava, l’actualité le martèle : nous sommes tous des victimes potentielles de l’utilisation frauduleuse de nos données personnelles. Particuliers, entreprises, partis politiques, gouvernements… Nous sommes surveillés, nos déplacements traqués, nos vies épluchées. Une fatalité ? Pour Vincent Maret, Associé KPMG, "les urgences sur la sécurité et la protection ne datent pas d’hier. On les connaît dès les années 80 avec le développement de l’informatique, et depuis les années 90 pour Internet. Mais elles ont pris une importance extrême. Nous sommes tellement plongés dans le numérique que nous n’envisageons pas tous les scénarios d’attaque."

Tranches de vie partagées

La fraude sur les données d’un particulier peut déjà avoir des impacts importants, comme l’usurpation d’identité. Mais une fuite de données peut aujourd’hui concerner  des dizaines voire  des centaines de millions de particuliers. Comment parer aux risques que nous avons engendrés en diffusant nos tranches de vie ? Selon l’étude KPMG / 3Gem, moins de 10% des consommateurs estiment avoir le contrôle sur leurs données personnelles quand ils naviguent sur le web. Leurs armes : suppression des cookies, ‘ad blocker’ (bloqueur de publicités), navigation privée… Et les 90% d’internautes restant ?

La crainte de l’utilisation des données

L’étude, qui porte sur 6 900 personnes dans 24 pays (dont 200 en France), relève que plus de la moitié d’entre elles ne concrétisent pas un acte d’achat, inquiètes de l’utilisation possible de leurs données. "L’étude identifie deux niveaux de risques, commente Vincent Maret. Si je communique mes données à une société de e-commerce, les utilisera-t-elle de manière honnête et transparente ? Et une fois que je les ai confiées, la société est-elle, elle-même, bien protégée contre leur utilisation frauduleuse ?"

Renforcer la réglementation

Comment limiter alors l’intrusion ? "la régulation est un axe important, répond Vincent Maret. L’Europe est entrée dans cette voie avec la réforme de la protection des données personnelles [ndlr : RGPD, en vigueur le 25 mai]. La RGPD inclut de nombreuses exigences visant à mieux protéger les personnes quant à la collecte et l’utilisation de leurs données personnelles, notamment sur le plan de la cybersécurité." L’offensive s’organise donc. L’Anssi (agence nationale de la sécurité des SI) a remis son rapport au gouvernement le 17 avril, la directive européenne NIS est en cours de transposition dans le droit français, le règlement E-Privacy se négocie…

Responsabilité au plus haut niveau

Le sujet est vital pour les entreprises. "Les impacts sont majeurs et doivent être traités avec de gros moyens, prévient Vincent Maret. Mal gérées, sécurité et privacy peuvent entrainer le départ du dirigeant, comme pour un désastre écologique ou bancaire." Le problème s’étend à tous les métiers liés à la transformation numérique, pas seulement aux DSI. "Des produits non sécurisés mis sur le marché mettent en danger les clients, et donc l’activité des entreprises. Voiture connectée, pacemaker… On ne peut plus juste créer ou développer, on doit aussi s’assurer qu’on ne met personne en danger", dit Vincent Maret.

De l’éthique vers la croissance

À bien des égards, la cyber sécurité se rapproche des pratiques liées à la responsabilité sociétale des entreprises (RSE). "Tout comme l’entreprise affirme limiter ses rejets de CO2, elle annoncerait ne pas faire n’importe quoi avec vos données." Si l’entreprise agit dès sa création sur la sécurité, elle ira plus vite et plus loin dans sa croissance. Ce qui induit une même exigence demandée à ses fournisseurs et partenaires sur la cyber sécurité. Leur posture sécuritaire devra être mesurable : "Le paysage est en train de se dessiner, via des agences de notation par exemple et les associations de consommateur seront de plus en plus impliquées également sur les abus liées aux données."

PME, TPE et start-up, fragiles victimes ?

En attendant, l’urgence est à la mise en œuvre de la RGPD. "Notre rôle est d’aider les entreprises avec des évaluations, des conseils, une expertise technologique et une approche tous niveaux hiérarchiques et métiers confondus", dit Vincent Maret. PME et TPE sont concernées, plus encore si elles développent des activités ultra spécialisées. Elles ont moins de temps et de moyens pour prévoir les parades. "C’est un enjeu pour les start-up, car focalisées sur le développement de leurs idées, elles n’ont pas toujours le recul nécessaire pour penser aux malveillances."