Ce samedi 12 mars, le forum Venoge a réuni à Cossonay, le temps d’une journée de conférences, intervenants, personnalités politiques et professionnels du secteur de la sécurité autour du thème de la cybersécurité.
C’est à Monsieur Berchten, CEO de Protectas, qu’est revenu l’honneur de conclure ce moment riche en échanges.
Selon le magazine spécialisé Cybersecurity Ventures, l’impact des cybercrimes va augmenter d’environ 15% par an et devrait atteindre $10.5 trillions par an. La Suisse a connu en 2021 une hausse de 65% de cyberattaques par rapport à 2020.
Les craintes liées aux nombreuses et croissantes Cyber attaques étaient donc déjà depuis plusieurs mois dans tous les esprits, lorsqu’au matin du 24 février 2022, la Russie attaquait militairement l’Ukraine et remettait ainsi en première ligne l’importance presque oubliée des puissances militaires européennes.
Le conflit armé qui oppose la Russie à l’Ukraine, ou plutôt la Russie au reste du monde, relève l’instabilité mondiale sociale et économique et par effet domino l’augmentation des risques de Cyber attaques. Il faudra donc encore longtemps et probablement pour toujours considérer les Cyber attaques comme un risque non négligeable et présent au XXIe siècle.
Nous avons depuis quelques années mis la main dans un engrenage digital et numérique très complexe, qu’il faut sans cesse surveiller comme le lait sur le feu. Mais la surveillance ne suffit plus, il faut anticiper, prévenir, prévoir.
Depuis 20 ans nous avons modifié considérablement notre manière de consommer, de travailler, d’échanger nos informations, nos données. Le papier a été remplacé par des solutions digitalisées, et nous avons ainsi créé un nouvel environnement tant privé que professionnel, tout comme des nouveaux besoins et des nouveaux moyens. Nous avons créé un nouvel univers digital, de nouvelles habitudes de consommation, de paiements qui requièrent d’autres pratiques, d’autres attentions et qui génère d’autres risques…
Je ne suis pas un spécialiste en Cyber Sécurité, cependant nous avons identifié au sein de mon organisation cette nouvelle menace. Depuis plus 17 ans j’ai la charge de la stratégie, du développement, du management et la responsabilité de la gestion des risques au sein de mon entreprise, c’est-à-dire de prendre toutes les mesures nécessaires pour réduire les risques et les impacts financiers liés aux diverses menaces et danger ! Tout cela s’inscrit dans notre revue annuelle du risque ‘Entreprise Risk Management’, et dans notre politique de ‘Business Continuity Plan’.
Dans cette mission, je me suis entouré de spécialistes afin de poursuivre notre croissance et notre développement. Dans l’environnement informatique, il y a bien entendu le volet de la Cyber sécurité, et pour cela depuis plusieurs années, nous avons sans cesse investi, (re)modelé nos systèmes, formé nos collaborateurs aux gestes barrières à appliquer avec pour objectif de réduire également les risques liés au social engineering.
Cyber Resilience Programme
Nous avons probablement un avantage certain, c’est celui d’appartenir à un groupe mondial, coté en bourse pour lequel les sujets tels que la Cyber sécurité sont des sujets extrêmement importants et qui drivent notre quotidien. Pour rappel, il s’agit du groupe international Securitas AB, basé en Suède, les 3 points rouges. Quelques chiffres pour re-situer : présent dans 47 pays, le groupe compte 345'000 employés et 47 SOC (centres de réception d’alarme et d’image de vidéosurveillance).
Depuis plusieurs années, le Groupe nous teste dans nos choix et stratégies en matière de lutte contre la Cyber Sécurité. Depuis 2018, l’informatique au sens large, à savoir les systèmes, les serveurs, les applications et la Cyber sécurité, sont gérés de manière centralisée au sein de la division Europe du Groupe.
L’ambition de devenir « Cyber Resilient » dans les 5 ans était clairement affichée, avec la mise en place d’une organisation spécifique, articulée autour des nouveaux besoins pour lutter contre la Cyber criminalité.
Un programme appelé CRP (Cyber Resilience Programme) a été mis en place pour réduire les cyber risques.
Notre programme CRP s’articule autour de ces 5 piliers :
- Mesurer la maturité de Cyber Resilience de chaque pays
- Se doter s’une équipe de spécialistes CERT (Cyber Emergency Response Team) au niveau global qui va piloter les outils, et qui, basée en Europe, aux USA et en Asie, est à même de réagir rapidement 24/7
- Partager un socle d’outils et de règles de sécurité communs
- Garder une attention particulière sur les applications business sensibles
- S’entourer de partenaires spécialisés
Ce projet de Cyber Résilience vise à renforcer les capacités mondiales en matière de sécurité numérique grâce à l’élaboration d'un modèle opérationnel de cybersécurité et à son déploiement.
Tout comme les notations financières pour investisseurs, il existe des entités de notation de cybersécurité, telles que BitSight, basée à Boston, qui analyse les entreprises, les agences gouvernementales et les établissements d'enseignement. Protectas, comme l’ensemble des filiales du groupe Securitas AB, est audité et son rating est de notoriété publique.
Dans cette perspective, le groupe a mis en place un programme interne de « divulgation responsable » récompensant les « ethical hackers », nous remontant des failles de sécurité.
En résumé :
En complément des excellentes présentations et pertinentes recommandations des nombreux intervenants, afin de renforcer sa politique de Cyber sécurité, nous rappelons qu’il est indispensable d’anticiper ces risques et d’avoir un plan, une stratégie, une hygiène au sein des utilisateurs, une politique des droits d’accès, la mise en place de solutions pérennes et efficaces, du contrôle et du « refinement & tuning permanent », tout en étant capable d’identifier ses adversaires potentiels : cyber criminels, activistes, criminels, nations, insider, compétiteurs, etc.
La mise en œuvre d’un Business Continuity Plan, d’un Crisis Management & Disaster Recovery Plan ne s’improvisent pas. Il en va de même pour la mise en place d’un plan de Cyber Résilience visant à réduire les risques et les impacts de cette nouvelle menace. Il s’agit d’une approche professionnelle et organisée qui doit correspondre aux activités et à l’infrastructure de votre organisation ou de votre entreprise.
Malgré toutes ces mesures, il sera très difficile d’assurer le 100% de protection contre ces nouvelles menaces, la question n’est pas de savoir « si » mais « quand » et d’être capable à cet instant de réagir tant en interne qu’en externe avec un plan de crise et des plans de communications adaptés, à défaut de postures réactives !