CYBERSÉCURITÉ, L'INSOUCIANCE FRANÇAISE ?
Source : COMPLIANCES N°10

Ancien directeur technique de la DGSE, le Général (2S) Yves Mathian a rejoint le secteur privé depuis presque quinze ans afin de conseiller les entreprises et de les aider à prendre conscience de la multitude de risques technologiques auxquels elles font face. Confrontées à des menaces multiples et protéiformes, le Général dresse le constat d’entreprises françaises insuffisamment préparées aux risques cyber.

Vous avez servi longtemps à la Direction Générale de la Sécurité Extérieure (DGSE) et êtes aujourd’hui en charge de l’activité cybersécurité de la société Cristal Groupe International. Comment votre perception du risque cyber a-t-elle évolué au cours de vos différentes expériences ?

Je suis rentré à la DGSE en 1985 et y suis resté jusqu'en 2006. Mon expérience au sein de ce Service m'a permis de me confronter aux problématiques de défense et d’attaque, de recherche de renseignements par tous les moyens, y compris techniques. Au cours de ces années, j’ai pu apprécier et mesurer le niveau de compétence et d’agressivité de nos adversaires dans le domaine de la cybersécurité. Certains, parfois considérés comme les alliés ou amis d’un jour – par exemple, face aux problématiques de terrorisme, des armes de destruction massive, des trafics illicites – deviennent des adversaires, lorsque les objectifs de renseignement économique prennent le pas. À cette occasion, j'ai pu observer que, d'un côté nous faisons face à une agressivité extrême, et que de l'autre côté, en particulier en France, nous avons des administrations et des entreprises qui semblent dans une forme d’angélisme qui les pousse à sous-évaluer les moyens mobilisés pour protéger leur patrimoine informationnel. En rejoignant le secteur privé en 2006, ce constat amer m'a donné l'idée de revenir à mes débuts à la DGSE, où en tant que chef d’un laboratoire je dirigeais une équipe qui développait des moyens destinés à protéger nos personnels dans le cadre de leur métier, notamment lorsque ces derniers étaient amenés à transmettre des informations extrêmement sensibles. À noter que lorsque l’on travaille du côté de l'administration, on est persuadé que dans le privé, les entreprises sont bien conscientes de tous ces risques et prennent les dispositions nécessaires pour s’en protéger à leur échelle. La réalité du terrain m’a rapidement prouvé le contraire. J’ai donc d’abord lancé ma propre activité, puis changé d’échelle en prenant la direction de l’activité cyber de Cristal Groupe International, avec l'idée de convaincre les entreprises de la nécessité de se protéger et surtout d’ouvrir les yeux sur les risques encourus au quotidien dans leur travail. Cela passait nécessairement par du conseil, mais également par le développement de solutions technologiques dédiées aux entreprises.

Aujourd'hui, la situation n’a toujours pas suffisamment évolué : les entreprises ne mesurent pas encore assez les risques liés au manque de protection de leurs informations sensibles. Malheureusement, elles n’en prennent souvent conscience que trop tard, c’est-à-dire le jour où elles sont victimes d’attaques.

Selon vous, d’où vient cet angélisme que vous évoquez ?

Le problème dans les entreprises vient pour beaucoup du manque de culture en matière de risques. La plupart des dirigeants n’ont pas toujours bénéficié d’une formation scientifique, et il y a chez eux une certaine tendance à considérer que la sécurité, c’est compliqué, que c’est onéreux, et que cela n’est pas générateur de valeur. Alors, les dirigeants se défaussent souvent de cette responsabilité sur des experts, mais n’appréhendent pas le fait que la protection du patrimoine informationnel est avant tout une démarche relevant de la politique et de la stratégique d’entreprise. En cas d’attaque, c'est tout leur système d’information qui risque de s'effondrer. L’image et l’activité tout entière de la société pouvant, du jour au lendemain, en être dramatiquement impactée.

Une fois qu’on a dit cela, il faut faire preuve de pragmatisme. Il est nécessaire de faire comprendre aux dirigeants et à leurs collaborateurs que la sécurité peut être simple d'emploi que cela concerne l'environnement du bureau, mais pas uniquement. Surtout à l’heure du recours massif au télétravail.

En interne, comment mettre en oeuvre cette réflexion autour de la cybersécurité ?

Il ne s'agit pas de tout chiffrer, de tout sécuriser à 100 %, mais plutôt d’avoir une véritable réflexion interne pour identifier les informations les plus sensibles au sein de l’entreprise qui doivent être couvertes par ce qu'on appelle plus communément « le secret des affaires ». Cette approche stratégique peut être conduite au niveau du département en charge de la compliance, au niveau du DRH, de la direction du développement pour protéger les brevets et les savoir-faire, voire au niveau de la direction générale. À chaque maillon de l'entreprise, une réflexion doit être conduite afin de différencier les informations publiques, celle relevant du fonctionnement de l’entreprise de celles nécessitant un haut degré de protection, car relatives au secret des affaires.

Dans de nombreuses entreprises cette classification n’existe pas, ni cette réflexion interne sur la gouvernance des données dont découleraient des procédures et, in fine, des outils de protection. C'est, selon moi, l'énorme lacune que l’on peut observer dans certaines entreprises aujourd'hui et qui en fait des cibles de choix. La crise que nous connaissons actuellement le démontre. À titre d’illustration, le recours au télétravail a généré une explosion des cyberattaques en 2020, tout simplement parce que les entreprises n'étaient pas prêtes, qu’elles n'avaient pas conduit cette réflexion, ou encore qu’elles n’étaient pas équipées de moyens de protection suffisants. On peut ajouter à cela que la période que nous vivons est orientée vers la communication et l’échange au travers d’Internet parfois au détriment de la sécurité.

Toutes les innovations technologiques dans ce domaine ont été accompagnées de leur lot de risques, notamment induits par les changements dans les comportements et les usages. Toutes les informations à caractère personnel qui sont aisément partagées sur les réseaux sociaux, sont autant d’éléments exploités par des attaquants pour mener des études d’environnement de leurs cibles en vue d’analyser leurs habitudes, d’identifier les réseaux où elles se trouvent, puis d’opérer une manipulation humaine visant à obtenir des identifiants et mot de passe leur permettant de pénétrer le système d’information de l’entreprise cible.

 

La protection du patrimoine informationnel est avant tout une démarche relevant de la politique et de la stratégique d’entreprise. En cas d’attaque, c'est tout leur système d’information qui risque de s'effondrer. L’image et l’activité tout entière de la société pouvant, du jour au lendemain, en être dramatiquement impactée.

Qu’est-ce qui selon vous pousserait les entreprises à appliquer cette réflexion de gouvernance et de stratégie aux enjeux de cyber-risque ?

Un des axes permettant une meilleure prise en compte du cyber-risque pour-rait être trouvé dans le domaine de l’assurance. Les assureurs commencent à se pencher sur ces questions ; l’idée serait de démocratiser les contrats d’assurance qui intègrent le risque de perte d’exploitation dû à des cyber-attaques. Il pourrait être proposé de conditionner les contrats d’assurance à une évaluation des risques au travers d’une démarche d’audit. Aujourd’hui, la barrière est encore culturelle. Les assureurs doivent se rapprocher des informaticiens et des spécialistes du risque cyber afin de mieux comprendre quelles sont les problématiques à in-tégrer à un audit, ou à des tests de vulnérabilité. La question sera bien sûr d’évaluer la diminution du montant des polices d’assurance par rapport aux efforts d’audits et de sécurisation qui pourraient être demandées et mises en œuvre par les clients. Une autre ques-tion est de savoir comment rendre ces coûts supportables pour les PME et ETI, qui ne doivent pas être laissées pour compte.

En effet, beaucoup d’entreprises se retrouvent démunies une fois confrontées à l’exposé de leur vulnérabilité. Quelles solutions proposer aux entreprises ?

La France a toujours été très compé-tente dans le domaine informatique. Mais nous avons malheureusement une certaine propension à ne pas suffisam-ment protéger notre savoir-faire ou à ne pas savoir en faire commerce. Ce n’est pas le cas des anglo-saxons qui ont su prendre très tôt le virage de la micro-informatique dans les années 80. On a pu observer le même phénomène dans les années 2000 en matière de cryptologie. Auparavant les moyens cryptologiques étaient assimilables à du matériel de guerre et réservés aux industriels de défense. Puis à l’instar des pays occidentaux, la France a décidé d’en libéraliser l'usage et la commercialisation. Malheureusement, cette démarche n’a pas été accompa-gnée d’une politique industrielle en la matière, permettant le développement d’un tissu industriel dans le domaine du software, du hardware. De leur côté, les anglo-saxons, les russes, les israéliens, les chinois... se sont naturellement en-gouffrés dans la brèche en proposant leurs outils, leurs Firewall, leur VPN (ndlr, réseau virtuel privé) ou leurs lo-giciels antivirus et ont innové

Aujourd'hui, si vous disposez d’un ré-seau informatique, vous serez proba-blement équipé de matériel américain et si vous êtes sur un marché où vos concurrents sont américains, vous expo-sez potentiellement vos actifs immaté-riels. C’est pour cela qu’il faut une fois de plus faire preuve de pragmatisme et faire des choix de protection ou d’équipements en fonction des niveaux de risques auxquels son entreprise est exposée en privilégiant les solutions nationales ou européennes quand cela est possible.

De votre expérience des « deux côtés », est-il plus facile d'évangéliser en matière de cybersécurité en étant dans l'administration ou en étant dans le secteur privé ?

L'administration a essentiellement des fonctions régaliennes. Elle s’efforce de sensibiliser et d’édicter des directives, ce qui est parfois perçu comme une contrainte par le secteur privé, un peu à l’image du RGPD lors de son arrivée dans notre paysage réglementaire. Les entreprises sont donc parfois méfiantes vis-à-vis du poids d’une nécessaire rè-glementation. En agissant en qualité de conseil, j'ai appris qu’il était plus efficace de convaincre les entreprises de se protéger en abordant la ques-tion non sous un angle règlementaire mais sous celui du risque financier ou économique. À titre d’exemple dans le monde bancaire, les conséquences en termes d'image pour une banque qui vient de subir une cyberattaque peuvent être catastrophiques. C'est pour cette raison que ce secteur est probablement celui qui a pris conscience le plus tôt de l’intérêt de protéger ses systèmes d’information.

Le discours doit être similaire dans les autres secteurs d’activités et également viser les TPE-PME, ou encore les cabinets d’avocats qui devraient avoir le souci de préserver la confidentialité des dos-siers de leurs clients. Il convient donc, en tant que conseil, d’adapter le discours à chaque problématique en analysant les conséquences directes d’une attaque sur l’activité de chaque structure et en proposant des solutions adaptées.

BIO EXPRESS

Le Général (2s) Yves Mathian a exercé pendant près de vingt ans différentes responsabilités au sein de la direction technique de la DGSE, dont il fut le directeur. Issu de Saint-Cyr, breveté de l'Ecole Supérieure de Guerre, il est ingénieur en systèmes électroniques, diplômé de l’ENSTA ParisTech. Il dirige aujourd’hui l’activité cyber de Cristal Groupe International qui opère également l’application de communications mobiles chiffrées FrogTrust, dont il est le fondateur.

Source au format fichier PDF

Site internet Greentic.net