Les menaces informatiques sont l’objet d’un traitement médiatique intense ces dernières années, et cette donnée est bénéfique aux entreprises. Plus question, pour les professionnels, de se contenter d’un simple antivirus pour protéger l’ensemble des terminaux – et les données – de l’organisation. Les entreprises se montrent plus méfiantes et sont désormais plus enclines à se protéger, envisageant désormais la sécurité comme une donnée indissociable de toute nouvelle approche technologique.
De ce fait, l’arrivée de nouvelles technologies – objets connectés, intelligence artificielle, chatbots, etc. – est abordée de façon plus sécurisée. Les entreprises françaises, désormais conscientes des risques liés à la sécurité de leurs données, se préparent dès à présent à se protéger de ces nouvelles menaces potentielles. Mais le risque ne vient pas que des données ou des objets connectés : 35 % des incidents de sécurité sont causés par des collaborateurs internes. Un travail de sensibilisation auprès des employés français doit être impérativement mis en place, et ce sur le long terme.
Les deux volets « complémentaires » de la sécurité
Au-delà de l’approche purement « technique » de la sécurité, deux aspects complémentaires doivent être distingués au sein de l’entreprise : l’organisationnel, qui consiste en sa gouvernance et en sa conformité d’une part, et l’opérationnel (quels outils pour remonter les menaces, la sensibilisation, la culture du risque, la veille technologique mise en place, etc.) d’autre part.
De l’aspect organisationnel, il faut souligner la volonté des institutions européennes et le déploiement du Règlement général sur la protection des données (General Data Protection Regulation, GDPR), qui va permettre d’encadrer la cybersécurité au niveau européen dès 2018.
L’obligation de créer un poste de responsable de la protection des données au sein de certaines entreprises (Data Protection Officer, DPO), qui figure dans ce règlement, est une autre initiative positive. Aux entreprises de se mettre désormais en conformité avec ces nouvelles règles de sécurité qui arrivent à point nommé.
Pour la partie opérationnelle, les outils de mesure et de protection sont nombreux, mais les menaces toujours plus importantes. La sensibilisation et la culture du risque doivent ainsi être accompagnées d’une veille technologique indispensable pour assurer la protection de l’entreprise sur la durée. La cybersécurité est un domaine qui évolue en permanence et à une vitesse considérable : sans veille, sensibilisation et culture du risque ne servent plus à rien. En parallèle, chaque entreprise devrait également réaliser des audits et de l’analyse des risques pour adapter sa stratégie de sécurité à son propre secteur et à ses problématiques.
Grâce à une prise de conscience généralisée, la sensibilisation, la culture du risque et la veille technologique font désormais partie du quotidien des entreprises françaises. Celles-ci rattrapent progressivement leur retard en matière de cybersécurité, qui devient désormais un axe de développement stratégique à part entière.
13/12/2017