Compte rendu du petit‐déjeuner débat du mercredi 14 décembre 2016

Présentation de l’étude annuelle de PwC  
« The global state of information security® Survey »

ou

La cybersécurité au delà de la technologie 

 par

Philippe TROUCHAUD

associé chez PwC, responsable du développement des activités de cybersécurité pour la région EMEA

 

{{Pour ce dernier débat 2016 du Cybercercle, Philippe Trouchaud, Associé PwC spécialiste de la Cybersécurité, a présenté les résultats de l’étude annuelle sur le panorama de la sécurité numérique réalisée par son cabinet. Pour lui, la cybersécurité doit dépasser la simple discussion de technicien et prendre le problème par les risques pour être entendu des COMEX.}}

En préambule, Philippe TROUCHAUD a souligné le fait que la  France dispose d’atouts importants en matière de cybersécurité, avec de nombreuses écoles d’ingénieurs, des entreprises de la filière en nombres tant avec de grands champions que des startups innovantes.

Selon cette étude quel que soit le secteur d’activité ou la taille des entreprises, la priorité est actuellement à la digitalisation. Pour tout le monde le premier actif de l’entreprise est la donnée. Par contre moins de 20%  d’entre-elles savent où se trouvent leur données… 

La cybersécurité 3ème plus grand facteur de risques pour les dirigeants

Pour toutes les entreprises interviewées, le premier risque est la récession aux Etats-Unis. Le deuxième est un risque politique et le troisième reste la cybersécurité… Le cinquième serait l’explosion de la zone Euro. Par contre, dans ce panorama l’appétence cyber des DG est relativement faible. Dans cette enquête, un tiers de chaque région du monde est représenté incluant des grandes et petites entreprises. 

Baisse notoire des incidents de sécurité

Un des grands enseignements de cette étude souligne la baisse notoire des incidents ce qui, pour Philippe TROUCHAUD, signifie que les stratégies des entreprises en matière de cybersécurité commencent à porter leurs fruits. Cependant, les attaques liées à des États sont plus sévères. Il estime nécessaire une collaboration entre les états, la recherche et les entreprises. C’est d’ailleurs quasiment écrit dans la loi aux Etats-Unis et l’ANSSI le prône dans toutes ses recommandations. 

Objets communicants : nouvelles sources de risques

Parmi les priorités des entreprises en matière de digital, on trouve les objets communicants. Il estime qu’à l’horizon 2020 il devrait y avoir 21 milliards d’objets connectés. Le problème qui plane aujourd’hui reste la faible prise en compte de la sécurité de ces objets. Ce phénomène est alarmant dans la mesure où ces objets pourraient être des vecteurs de nouvelles vulnérabilités.

Tous les gouvernements commencent à édicter des législations et des règlementations en matière de cybersécurité. Aux Etats-Unis, une des tendances est de mettre en place des stratégies offensives pour lutter contre les menaces sur internet. Aujourd’hui, cette position n’est pas suivie actuellement par la France.

La cybersécurité rentre dans les COMEX…

Dans la gouvernance, il note un rôle accru de la cyber dans les conseils d’administrations. Les administrateurs souhaitent comprendre les risques et prendre une posture de plus en plus active. De plus, les agences de notation s’intéressent aussi au risque de cybersécurité. Il a cité le cas Talk Talk au Royaume-Uni qui a perdu 70% de sa valeur boursière suite à une attaque cyber durant laquelle elle se serait fait voler les données de ses clients y compris leurs numéros de cartes bancaires. 

La plupart des entreprises notent un manque de compétence dans le domaine cyber. Il y aurait dans le monde plus d’un million de postes ouverts dans ce domaine. 17% des entreprises les plus performantes en matière de Cybersécurité dépenseraient 8% de leur budget IT sur ce sujet. Seuls les secteurs de l’automobile et de la santé augmenteraient leur budget sécurité.

… Mais attention à la cyber-fatigue

Par ailleurs, il y aurait dans le monde une cyber-fatigue qui induit une réduction des budgets Sécurité car les COMEX ne voient pas les résultats des actions menées en matière de sécurité. Pour Philippe TROUCHAUD, le monde de la sécurité reste encore trop technique donc incompréhensible par les directions générales. Il faut absolument que les directions Sécurité abordent le problème par les risques et non par la technique. 

En conclusion, tous les incidents connus engendrent une baisse de la confiance en internet. Ainsi, seulement 20% des utilisateurs veulent partager un simple numéro de sécurité sociale. En France, il y aurait six pour cent de transactions électroniques en moins du fait de la perte de confiance. Enfin, il faut noter qu’un incident dans une entreprise a un impact sur l’ensemble de la filière de cette dernière. 

 

 

 

Les éléments rapportés ci-avant résument l’esprit des interventions et ne peuvent être considérés comme des déclarations fidèles des intervenants.

 

DROITS DE REPRODUCTION

L’utilisation de tout ou partie de ce compte-rendu doit s’accompagner d’une référence au CyberCercle.
©CyberCercle