#security#cybersecurity#dora#password#threat#ransomware#emergency#regulations

La cybersécurité : un enjeu majeur dans un monde de plus en plus connecté

La cybersécurité est devenue une priorité absolue dans notre société hyperconnectée, face à la recrudescence des cyberattaques et à l'émergence de nouvelles menaces. Les gouvernements, les entreprises et les individus doivent unir leurs efforts pour relever ce défi de taille.

Je constate qu'au moment où ces lignes sont écrites, s'il existe des entreprises où la sécurité est prise très sérieusement en compte, beaucoup laissent encore ce sujet au bord de la route !

Les réglementations européennes renforcent la sécurité numérique

Face à ces défis, l'Union Européenne a adopté plusieurs réglementations clés pour renforcer la cybersécurité :

• Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en 2018, impose des mesures strictes pour protéger les données personnelles.
• La Directive NIS (Network and Information Security), adoptée en 2016, établit des mesures pour un niveau élevé de sécurité des réseaux et des systèmes d'information dans l'UE.
• Le Règlement DORA (Digital Operational Resilience Act), adopté en 2022, vise à renforcer la résilience opérationnelle numérique du secteur financier face aux cybermenaces. Il impose notamment :
  • La mise en place d'un cadre complet de gestion des risques liés aux TIC
  • Le renforcement du processus de gestion des incidents, avec une obligation de déclaration des incidents majeurs
  • La réalisation régulière de tests de résilience opérationnelle numérique
  • Une harmonisation des exigences en matière de gestion des risques liés aux prestataires de services TIC
  Le sujet DORA est quant à lui de toute première importance dans la mesure où il entre en application bientôt, le 17 janvier 2025.

Le World Economic Forum alerte sur la menace de la cybercriminalité

Le World Economic Forum (WEF) a identifié la cybercriminalité comme l'un des plus grands risques auxquels l'humanité est confrontée. Dans son rapport annuel sur les risques mondiaux, le WEF souligne que les cyberattaques sont devenues plus fréquentes, plus coûteuses et plus dévastatrices.

Le WEF appelle à une action urgente pour renforcer la cybersécurité, en encourageant une collaboration étroite entre les gouvernements, les entreprises et la société civile. Il préconise notamment :

• Des investissements massifs dans la cybersécurité
• Le développement de normes et de réglementations internationales
• Une meilleure coordination entre les acteurs pour lutter contre la cybercriminalité
• Une sensibilisation accrue du public aux enjeux de la cybersécurité

DORA

La Digital Operational Resilience Act (DORA) est une réglementation de l'Union Européenne adoptée pour renforcer la résilience opérationnelle des entités financières face aux menaces numériques croissantes. Voici les principaux objectifs de DORA :

Renforcer la résilience opérationnelle

L'objectif principal de DORA est d'assurer que les entités financières, telles que les banques, les compagnies d'assurance et les sociétés d'investissement, puissent résister, répondre et se remettre de toutes les perturbations et menaces liées aux technologies de l'information et de la communication (TIC).

Harmoniser les règles de résilience opérationnelle

DORA vise à créer un cadre réglementaire harmonisé pour la résilience opérationnelle dans le secteur financier, en établissant des normes uniformes à travers les États membres de l'UE. Cela inclut la gestion des risques liés aux TIC et la surveillance des prestataires de services TIC tiers.

J'envisage pour ma part que les risques de résilience opérationnelle devront faire l'objet d'évaluations régulières (dont il faudra faire la démonstration en RUN) et qu'il faudra en justifier lors de la période de aftercare/hypercare.

Établir des exigences de gestion des incidents

La réglementation impose aux entités financières d'établir des mécanismes de signalement des incidents TIC, afin de notifier rapidement les autorités compétentes en cas d'incidents majeurs. Cela inclut la classification et l'analyse des incidents pour améliorer la gestion des menaces.

Il y a dès lors fort à parier que la gestion des projets informatiques impose un nouveau type de livrable (par exemple un cahier historique de gestion et de suivi des incidents) dont il faudra pouvoir faire la démonstration.

À ce propos, il est bon de rappeler qu'OpenAI a fait l'objet d'un vol de données gigantesque que l'entreprise n'a pas jugé bon de révéler au public, voir à ce propos l'article paru sur Tom's Hardware.

Exiger des tests de résilience numérique

DORA impose des exigences de tests de résilience opérationnelle, notamment des tests de pénétration basés sur des menaces, qui doivent être réalisés régulièrement pour identifier et corriger les vulnérabilités des systèmes critiques.

Là encore, nous devons nous attendre à de nouveaux livrables, ou formes de livrables. Par exemple, je ne connais pas d'institution financière qui se passe de tests de pénétration (pen-testing) mais ce qui changera probablement c'est de pouvoir les démontrer et à juger de leur suffisance.

Gérer les risques des tiers

Un autre objectif clé est la gestion des risques liés aux prestataires de services TIC tiers. DORA exige que les entités financières évaluent les risques associés à leurs contrats d'externalisation et s'assurent que ces prestataires respectent des normes de résilience équivalentes.

J'envisage un … bordel monstre que j'ai encore du mal à cerner.

Promouvoir le partage d'informations

DORA encourage le partage d'informations et d'intelligence sur les menaces et les vulnérabilités au sein du secteur financier, afin de renforcer les stratégies de défense collective contre la cybercriminalité.

Influences sur les secteurs non-financiers

Le Digital Operational Resilience Act (DORA), bien qu'axé sur le secteur financier, aura des influences significatives sur d'autres secteurs en raison de son approche systémique et de ses exigences en matière de résilience numérique. Voici les principales influences que DORA pourrait avoir en dehors du secteur financier :

Renforcement des normes de cybersécurité

DORA impose des normes strictes de gestion des risques liés aux technologies de l'information et de la communication (TIC). D'autres secteurs, notamment ceux qui dépendent fortement des systèmes numériques, comme la santé, l'énergie et les télécommunications, pourraient être amenés à adopter des normes similaires pour garantir leur propre résilience opérationnelle. Cela pourrait entraîner une harmonisation des pratiques de cybersécurité à travers divers secteurs.

Perso, je suis presque sûr que cette tendance se généralisera et qu'elle aura pour effet de favoriser les grosses entreprises de consulting au détriment des plus modestes, ce qui est TOUJOURS le cas en inflation de règles et réglements.

Impact sur les prestataires de services TIC

Les entreprises qui fournissent des services numériques aux entités financières, telles que les prestataires de services cloud et les éditeurs de logiciels, devront se conformer aux exigences de DORA. Cela pourrait inciter ces prestataires à améliorer leurs propres pratiques de cybersécurité et de gestion des risques, ce qui aura un effet d'entraînement sur d'autres secteurs qui utilisent leurs services, augmentant ainsi la résilience globale de l'écosystème numérique.

J'en déduis que le processus de screening des entreprises devra être adapté ce qui ne manquera pas d'impacter légèrement le département des achats.

Évolution des relations contractuelles

DORA impose des exigences spécifiques concernant les contrats entre les entités financières et leurs prestataires de services TIC. D'autres secteurs pourraient adopter des pratiques similaires, en renforçant les clauses contractuelles relatives à la sécurité des données, à la gestion des incidents et à la résilience opérationnelle. Cela pourrait mener à une standardisation des contrats dans divers secteurs, augmentant ainsi la responsabilité des prestataires de services et en excluant progressivement les plus petites entités de consiulting.

Accroissement de la sensibilisation et de la formation

Avec la mise en œuvre de DORA, une attention accrue sera portée à la formation des employés sur les questions de cybersécurité et de résilience opérationnelle. D'autres secteurs pourraient suivre cet exemple, intégrant des programmes de formation similaires pour renforcer la culture de la cybersécurité au sein de leurs organisations.

Collaboration intersectorielle

DORA encourage le partage d'informations et de renseignements sur les menaces et les vulnérabilités. Cette approche collaborative pourrait inciter d'autres secteurs à établir des partenariats pour échanger des informations sur les cybermenaces, favorisant ainsi une meilleure préparation collective face aux incidents.

Et donc …

Bien que DORA soit spécifiquement conçu pour le secteur financier, ses principes et exigences auront des répercussions significatives sur d'autres secteurs. En renforçant les normes de cybersécurité, en influençant les relations contractuelles et en promouvant une culture de résilience, DORA pourrait contribuer à un écosystème numérique plus sûr et plus résilient à l'échelle de l'Union Européenne mais également plus concentré que jamais.

Statistiques d'exposition à la cybercriminalité en Europe

Les statistiques d'exposition à la cybercriminalité par secteur économique en Europe montrent des tendances préoccupantes, avec des impacts variés selon les industries. Voici un aperçu des données clés :

Statistiques par secteur

1. Petites et Moyennes Entreprises (PME)
   • Environ 28 % des PME européennes ont subi une cyberattaque en 2021, avec des taux atteignant 41 % en Grèce et 48 % au Portugal.
2. Secteur de la santé
   • Les hôpitaux et les établissements de santé sont particulièrement vulnérables, avec 11 % des cyberattaques ciblant ce secteur. La numérisation croissante des services de santé augmente leur exposition aux cybermenaces. Ainsi, en 2021, le magazine Le Spécialiste indiquait que 65% des hôpitaux belges avaient déjà subi une cyberattaque; en juin 2023, c'est l'hôpital d'Auvelais qui avait été victime d'une attaque informatique dont, de manière indirecte, j'ai été victime (problèmes de comptabilité). On voit que le secteur est sous tension !
3. Collectivités territoriales
   • Environ 20 % des cyberattaques visent les collectivités territoriales, soulignant la nécessité de renforcer la cybersécurité dans les services publics.
4. Grandes entreprises
   • Les grandes entreprises subissent également des attaques, représentant 26 % des cas de cybercriminalité. Ces entreprises sont souvent des cibles de choix en raison de leurs ressources et de la valeur de leurs données.
5. Exposition générale des internautes
   • En Europe, 36 % des internautes ont signalé avoir été victimes de cybercriminalité, avec des taux d'exposition plus élevés en France. Par exemple, 50 % des internautes français ont été exposés à des tentatives de phishing, et 42 % ont rencontré des virus malveillants sur leurs appareils.

Coûts de la cybercriminalité

• Le coût annuel de la cybercriminalité pour l'économie mondiale a atteint 5500 milliards d'euros à la fin de 2020, un chiffre qui double celui de 2015. Cela reflète l'augmentation des pertes financières dues aux cyberattaques.

On en déduit …

Les statistiques montrent que la cybercriminalité touche divers secteurs économiques en Europe, avec des impacts significatifs sur les PME, le secteur de la santé, et les collectivités territoriales. La nécessité d'améliorer la cybersécurité est cruciale, alors que les attaques continuent de croître en fréquence et en sophistication.

Dans les Transformations Digitales

La cybersécurité joue un rôle essentiel dans les transformations digitales des entreprises. Voici les principaux points à retenir :

Intégrer la cybersécurité dès le début du projet

Pour réussir une transformation digitale, il est indispensable d'intégrer la cybersécurité dès le début du projet et durant toutes les phases de conception qui suivent. Cela assure la construction d'une sécurité optimale, sans perturber la manière dont les collaborateurs travaillent.

Protéger les données et l'activité de l'entreprise

Avec la digitalisation, de plus en plus de données seront stockées et circuleront. La cybersécurité permet de protéger ces données sensibles ainsi que l'activité de l'entreprise contre les cyberattaques, qui peuvent engendrer des interruptions d'activité, des pertes de données et de confiance, des coûts financiers et des conséquences juridiques.

Gagner en confiance auprès des clients et partenaires

En intégrant la cybersécurité dans sa transformation digitale, une entreprise peut non seulement protéger ses actifs, mais aussi gagner en efficacité et en confiance auprès de ses clients et partenaires. Cela ouvre la voie à une croissance durable. Les départements Marketing et Relations Publiques, le département des achats, département des ventes, …

Mettre en place une stratégie de cybersécurité robuste

Pour se protéger efficacement, les entreprises doivent mettre en place des stratégies de cybersécurité robustes et adaptatives, basées sur une évaluation complète des risques, la formation et la sensibilisation des employés, et un plan de réponse aux incidents bien défini.

Pour les Transformations Digitales, on clonclut …

En résumé, la cybersécurité est un pilier essentiel d'une transformation digitale réussie, permettant de sécuriser les données et l'activité de l'entreprise tout en gagnant en confiance et en compétitivité sur le long terme.

Néanmoins, j'attire votre attention sur le fait que la cybersécurité a de très nombreux aspects transverses et que ceci est de nature à propager nombre de dépendances d'entrée ce qui risque d'impacter la marche de l'ensemble du projet de transformation. Essayez dès lors d'isoler les aspects de sécurité de votre projet de Transformation Digitale tout en reconnaissant son immense importance.

Conclusion : la cybersécurité, une responsabilité partagée

La cybersécurité est un enjeu complexe qui nécessite une approche globale et concertée. Les réglementations européennes, comme le RGPD, la Directive NIS et le Règlement DORA, posent un cadre solide pour renforcer la sécurité numérique. Mais au-delà des obligations légales, la cybersécurité est l'affaire de tous.

Gouvernements, entreprises et citoyens doivent agir ensemble pour relever le défi de la cybercriminalité. Seule une mobilisation générale permettra de protéger efficacement nos données, nos systèmes et nos infrastructures critiques face aux menaces qui ne cessent d'évoluer.