L’ère numérique a introduit de nouvelles règles de combat : le champ de bataille s’étend désormais au World Wide Web. Data War is coming !
Equifax, Deloitte et la US Securities and Exchange Commission ont maintenant un point commun : ils ont tous reconnu avoir été victimes de violations majeures de la sécurité de leurs systèmes d’information au cours de la dernière année. En conséquence, sont devenues accessibles des informations personnelles de plusieurs millions d’individus, telles que des informations bancaires, des numéros de sécurité sociale, des noms, des adresses et bien plus encore. L’interdépendance des systèmes d’information et de production expose les entreprises immergés et interconnectées à des cybermenaces exponentielles.
Les cyberattaques menacent les particuliers comme les entreprises, engendrent des pertes de profits et mettent en péril la sécurité opérationnelle, financière et personnelle de chacun, sans parler des atteintes à la réputation des victimes comme dans l’affaire Ashley Madison… La protection des données personnelles des clients, des données numériques et des savoirs est un enjeu vital et les contraintes juridiques et réglementaires ne doivent pas être perçues comme un centre de coût mais comme un levier de performance, un gage de confiance et un atout concurrentiel.
En effet, les entreprises traitant de données personnelles fonctionnent sur un modèle de capital de confiance, de sorte que la perte de confiance compromet leur image auprès du public et par là-même leur exploitation commerciale des données. Ces entreprises peuvent également perdre certains de leurs secrets d’affaires, ou voir leurs stratégies révélées en raison d’une faille de sécurité. Les consommateurs victimes de cyberattaques, notamment par le vol de leurs données personnelles, par l’atteinte au respect de leur vie privée se retrouvent piégés dans un scénario de guerre de la DATA complexe.
> Dans un tel scénario, tout le monde perd à l’exception des pirates informatiques.
L’éveil des consciences sur la cybersécurité et la protection des données transforme le monde. Nous avons la responsabilité de sécuriser nos données, du consommateur à l’entreprise quelle que soit sa taille. Établir un cadre de gouvernance de la DATA est un enjeu de sécurité publique pour les entreprises et les individus plongés dans une guerre de la DATA ou plutôt de l’information. Celui qui détient de l’information détient du pouvoir. S’inscrire dans la démarche de pilotage des cyberisques implique la sensibilisation du maillon faible de la chaine de l’information : l’humain.
Une violation des données doit être considérée pour ce qu’elle est réellement, c’est-à-dire une violation inacceptable, qualifiée de délit à part entière.
Au sein de l’Union européenne, un certain nombre d’instruments législatifs agissent contre les cybercrimes :
- Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
- Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information ;
- Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
- Directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
Le nouveau règlement européen, entrant en vigueur le 25 mai 2018, était nécessaire pour réglementer ce « Game of Thrones » numérique mettant en lumière la volonté de l’Union européenne de placer la lutte contre la cybercriminalité comme priorité des défis futurs de nos sociétés numériques.
Le GDPR place la donnée personnelle au cœur de la protection des systèmes d’informations et a pour vocation d’amener les entreprises à adopter une culture de la DATA et de la compliance des données pour transformer la sécurité des systèmes d’information en confiance numérique.
Devant la diversité des menaces, la vulnérabilité des systèmes d’information et la multiplication des attaques, il s’agit de passer de la cyber défense statique, à une défense en mouvement en amélioration continue.
Améliorer la gouvernance de la DATA, c’est aussi améliorer le leadership, passer d’une logique bien française du « pas vu pas pris » à une vraie logique de résilience.
Dans un monde ultra connecté, les cybermenaces ne sont plus une fiction dystopique : dans 90% des attaques, notamment par hameçonnage de mail (le phishing), l’humain est le maillon faible. Une recherche Américaine place la France en première place dans l’Europe pour les vols de données personnelles[1]. La vulnérabilité potentielle du marché porteur des objets connectés (estimé à 200 milliards en 2020) ainsi que l’alarmante nouvelle de faille sécuritaire majeure affectant les réseaux Wi-Fi à travers le monde entier[2] imposent un changement immédiat de la culture d’entreprise.
Il n’existe pas de Citadelle technologique impénétrable. Le déploiement des objets connectés multiplie les cibles potentielles. Il s’agit effectivement de fonctionner en termes de résilience afin d’éviter la propagation des virus, de failles, de préjudices humains.
Il faut trouver le nécessaire équilibre entre les risques et les contraintes de production.
La nouvelle réglementation (GDPR) est l’opportunité de structurer et de valoriser à terme le patrimoine immatériel de l’entreprise tout en préservant les droits fondamentaux des individus. La cybersécurité est un enjeu commun pour l’IoT et l’innovation sens large.
Être libre dans un monde ultra connecté, pour paraphraser St-Exupéry, c’est plus que jamais être responsable.
[1] Vols de données personnelles en ligne: la France, pays le plus touché après les Etats-Unis http://www.europe1.fr/societe/vols-de-donnees-personnelles-en-ligne-la-france-pays-le-plus-touche-apres-les-etats-unis-3467510
[2] Ingrid Vergagra. Une faille majeure découverte dans le protocole de sécurisation du Wi-Fi. http://www.lefigaro.fr/secteur/high-tech/2017/10/16/32001-20171016ARTFIG00307-une-faille-majeure-decouverte-dans-le-protocole-de-securisation-du-wi-fi.php