Aujourd’hui, quelle entreprise conserve et archive ses données clients dans une armoire physique ? Certains se souviennent encore de cette époque, et de toutes les contraintes associées à cette gestion, mais elle est aujourd’hui plus que révolue.
La numérisation massive des données gérées par les entreprises, notamment l’hébergement Cloud et la démocratisation des CRM, et la monétisation de la data vont de pair avec une cybermenace croissante qui pèse sur l’économie mondiale. L’écosystème de la cybersécurité se trouve en outre face à un autre enjeu de taille : réinventer les parcours de formation et la communication autour de ses métiers pour pallier l’incroyable pénurie de talents du secteur.
Article rédigé par Angélique Gérard, Conseillère spéciale du Président - Groupe Iliad, Membre du Conseil d'Administration de l'AFRC et Présidente de STEM Academy
Une expérience sans faille
Le poids de la violation des données donne le vertige : 40 milliards de données piratées dans le monde en 2021. En France, la même année, 54 % des entreprises auraient été victimes d’au moins une tentative de cyberattaque. Bon nombre de grands groupes ont été touchés ces dernières années : LinkedIn en 2012, Adobe en 2013, Microsoft en 2021... aucune organisation ne peut se considérer hors de danger et le nombre de cyberattaques n’a jamais été aussi élevé.
Les conséquences des fuites de données pour les entreprises sont très coûteuses — les pertes mondiales liées aux attaques informatiques s’élèvent à 1 000 milliards de dollars en 2020 — et parfois fatales, car c’est bel et bien l’image de marque qui est en jeu. Il ne s’agit pas uniquement de vol d’information comme on pourrait le croire.
Le Data Leak correspond à la compromission des données du fait d’une négligence involontaire. Un système vulnérable, une carence de barrières anti-intrusion, une défaillance technique, le comportement à risque d’un collaborateur qui enfreint les règles de sécurité... Un logiciel vérolé est téléchargé et la porte aux données est ouverte pour les pirates qui viennent littéralement se servir dans votre base de données.
40 milliards de données piratées dans le monde en 2021
Dans un contexte d’essor du télétravail et de démocratisation du travail nomade, les points d’exposition se multiplient via les connexions à des Wi-Fi publics non sécurisés. Certaines entreprises autorisent même leurs salariés à utiliser leurs smartphones personnels non protégés. C’est l’invitation par excellence à l’accès aux informations de votre organisation !
Le Data Breach, quant à lui, correspond à une violation intentionnelle des données. Comme pour toute innovation, il existe malheureusement toujours des personnes malveillantes pour profiter des failles du système. Cela peut provenir d’un employé peu scrupuleux ou d’une cyberattaque, facteur principal des fuites de données dans le monde. On assiste à une véritable professionnalisation de la cybercriminalité. Les hackers agissent pour des raisons économiques (le plus souvent via la revente sur le Dark Web ou le chantage) ou des intérêts politiques (campagnes d’influence, espionnage, cyberterrorisme).
Ces dernières années, bon nombre de sociétés ont été hackées avec demandes de rançon — les fameux ransomware, comme l’attaque subie par le groupe informatique Acer en 2021, qui a reçu une demande record de 50 millions de dollars. Le risque étant en outre le gel forcé de l’activité pendant plusieurs mois, le temps de reconstruire tout le système d’information. Cela implique le plus souvent de devoir accomplir un travail titanesque pour reconstruire la base de données de zéro.
Exit le maillon faible !
Il est nécessaire d’adopter de bonnes pratiques afin de sortir de la posture de l’entreprise qui procède à une sorte de colmatage improvisé qui complexifie la gestion du réseau. À l’heure de l’hyperconnexion, il est urgent de véritablement s’intéresser à ces sujets cruciaux trop souvent négligés.
Les Directions doivent avant tout être sensibilisées, en particulier pour les services de Relation Client, afin d’assurer une diffusion large de la culture de la cybersécurité : systématiser le chiffrement des données, la sécurisation des appareils et du partage d’informations sensibles, l’utilisation de mots de passe, la formation des équipes aux bonnes pratiques.
Dans un contexte de multiplication des connexions entre terminaux et de nouveaux usages, les fonctions IT doivent pousser plus loin les actions de prévention à ces enjeux pour mobiliser durablement et apporter une compréhension approfondie des risques.
Techniquement, les solutions de cyberprotection flexibles et évolutives doivent être explorées en profondeur et un budget conséquent alloué à ce poste majeur, afin de protéger les réseaux sur l’ensemble de la chaîne d’information, du terminal jusqu’au Cloud.
Une préparation efficace implique plusieurs étapes nécessaires : un audit de la situation de l’entreprise, appelée Analyse d’Impact relative à la Protection des Données (AIPD), la mise en place d’un processus de gestion de crise, l’automatisation de recherches de potentielles violations et le déploiement d’un système de gestion des accès et des identités.
Le cyberdéficit
Autre défi de taille auquel doit se mesurer le secteur de la sécurité en ligne : des difficultés de recrutement considérables au niveau mondial. La fondation (ISC)2, qui porte la certification la plus reconnue en matière de cybersécurité, parle d’une pénurie de talents de 350 000 postes actuellement en Europe, qui entrave la croissance des entreprises et empêche de freiner l’épidémie de cybercriminalité.
Les raisons de ce déficit doivent être aujourd’hui envisagées comme de véritables leviers à actionner pour renverser la vapeur. C’est la mission que s’est donnée la Stem Academy, organisme de formation de l’Eco-nomie Sociale et Solidaire que j’ai fondé en 2022 pour former sur ces enjeux et protéger notre souveraineté économique, à l’heure où les talents français sont attirés par de meilleures rémunérations à l’étranger.
Méconnaissance du secteur par les entreprises, cursus de formation fastidieux, peu évolutifs et aux pédagogies trop traditionnelles, faible communication autour de la pluralité des métiers et des formations disponibles, méthodes de recrutement trop traditionnelles, là où il faudrait plus regarder les compétences et soft skills que les diplômes.
Les efforts sont également à concentrer sur la production de formations innovantes, complètes et flexibles, dans l’objectif de redorer l’image d’un milieu encore trop souvent considéré comme opaque et complexe.
Une pénurie de talents de 350 000 postes actuellement en Europe
Le secteur manque en effet de structuration, les professionnelles de la cybersécurité évoquent des carrières sans mentors, avec peu d’opportunités de stages et sans réelle évolution ni plan de carrière. Une véritable errance professionnelle qu’il faut combattre avec des formations de qualité, quand une étude de Global Knowledge, menée en novembre 2020, a montré que de nombreux salariés en poste dans la cybersécurité ne disposaient pas de connaissances complètes en la matière.
De nos jours, les clients désirent avant tout une expérience fluide et sans rupture : authentification rapide, connexion facile et meilleure réponse mobile et Web. Dans ce cadre, la cybersécurité représente un enjeu décisif de survie des entreprises. Un point de contact immédiat avec des experts en cybersécurité doit être assuré aux DSI et au service marketing afin de protéger les clients et la marque.
Il est toujours question d’adaptation. Devant les accélérations dont nous faisons l’expérience et le bouleversement des repères traditionnels de la sécurité, nous devons anticiper chaque étape de notre évolution pour surfer sur la vague du cyberespace de manière toujours plus innovante