Cybersécurité – une année disruptive !

Cybersécurité et Geek

Décidément la famille de la cybersécurité prend de plus en plus de place dans notre quotidien, bien au-delà des geeks et autres informaticiens.

WannaCry et NotPetya

Les événements les plus importants restent les attaques WannaCry et NotPetya durant la première moitié de l’année. Hôpitaux et aéroports impactés. Comment peut-on d’ailleurs négliger ce volet fondamental de la sécurité du SI qui est la gestion des vulnérabilités et son corolaire l’application des corrections, le patching. Il est, d’ailleurs, étonnant qu’après WannaCry, en attendant l’attaque suivante, certaines entreprises n’aient pas pris la mesure des dangers et n’aient pas appliqué les correctifs de sécurité. Car les vulnérabilités des systèmes face à ces attaques étaient semblables et avaient été signalées, mettant en avant l’urgente application des correctifs des systèmes.

Des chiffres d’affaires amputés

Un des événements les plus forts s’est produit le 27 juillet, lors de l’annonce de ses résultats semestriels et un mois exactement après la cyberattaque Petya/NotPetya. Ce jour-là, le Groupe Saint-Gobain a indiqué que l’attaque virale avait amputé son chiffre d’affaires du premier semestre de 220 MEuros (1,1% du total) et son résultat d’exploitation de 65 MEuros (4,4% du total).

Une annonce claire, transparente et responsable, qui donne pour la première fois une idée des coûts d’une attaque cyber. Le Groupe qui continue encore ses actions de remédiation de son parc informatique, estime un impact annuel de 250 MEuros de CA et une diminution de son REX de 80 MEuros. Heureusement, le Groupe Saint-Gobain est en bonne forme pour absorber ces pertes !

C’est donc un moment et un nom d’entreprise à retenir, comme une jurisprudence de notre métier. Une première en France. Un grand Groupe du CAC40 admet le préjudice subi et reconnaît le coût de l’impact d’une attaque virale sur ses systèmes informatiques. Cela encouragera sûrement d’autres grandes entreprises à dévoiler leurs incidents de sécurité. Et nous le savons bien, il y a eu d’autres….

Ironie de la situation, ces événements, ces attaques, arrivent moins d’un an avant l’entrée en vigueur du Règlement Général de Protection des Données (RGPD ou GRDP), prévu pour avril 2018. Le RGPD impose à chaque entreprise européenne de prendre des mesures techniques et organisationnelles pour prévenir toute fuite de données personnelles, de clientèle, etc. Avec la pénalité potentielle pouvant aller jusqu’à 4% du chiffre d’affaire des entreprises incriminées.

Une année disruptive

Nous assistons en quelque sorte à un vrai alignement des planètes. Les attaques sont là, multiples et d’intensité croissante, avec des impacts de plus en plus dramatiques. Le cadre légal européen coercitif est aussi en place, avec ses pénalités. Nous observons que des entreprises sont victimes d’attaques et que cela leur coûte des sommes faramineuses alors qu’en France, l’Etat à travers l’ANSSI, multiplie les actions préventives et de mise en garde.

Enfin, les acteurs de l’écosystème sécurité sont aussi là, avec leurs solutions et leurs processus. Bref, tout est en place. Il manque juste la dynamique des entreprises pour se mettre sérieusement dans le mouvement de la sécurisation de leur patrimoine.

Et cela passe d’abord par le budget à allouer à la cybersécurité : 3% du budget IT est insuffisant, 8% à 10% est acceptable. Cela, pour couvrir d’abord les expertises humaines puis les solutions à mettre en place et à faire vivre et exploiter.

Pour les Assises de la Sécurité de Monaco 2017, les organisateurs ont eu, du pain sur la planche, ou plutôt ils doivent être plus que créatifs pour loger et accueillir une communauté – utilisateurs finaux, éditeurs, sociétés de services – en pleine expansion. Les hôtels de la Principauté ne suffiront bientôt plus aux 3000, voire plus, participants. Pour la soirée de gala, le Sporting est déjà en limite en taille. Il faudra sûrement démultiplier l’événement.

Une vraie année de rupture ! 

Et comme pour tout processus disruptif, cela nécessite de la confiance et cela engendrera de la confiance. Car protéger la confidentialité des données est un élément structurant de la relation client.

Sans cybersécurité pas de confiance.