Cybersécurité : quels enjeux pour les entreprises en 2016 ?
Transformation digitale, protection des données, authentification... Les entreprises, malgré une volonté affichée de devenir agiles du point de vue numérique, sous-estiment encore leur stratégie de cybersécurité et les impacts invisibles des cyberattaques.
Je m'abonne
Les cyberattaques, des conséquences à ne pas sous-évaluer
À l'heure de la transformation digitale des entreprises, seules 7% des organisations considèrent la Cyber comme un sujet prioritaire et de premier ordre. C'est le résultat de l'enquête " Enjeux Cyber " menée par Deloitte en 2016.
Pourtant, alors qu'une entreprise en France subit 50 attaques par jour (source : Deloitte), ces conséquences sont nombreuses et souvent invisibles : destruction d'infrastructure, perte de propriété intellectuelle, indisponibilité d'un système de production... (image)
Dans cette optique, 55% des entreprises interrogées annoncent un budget consacré à la cybersécurité en augmentation pour l'année prochaine.
Méthodologie : étude réalisée auprès de responsables de 40 organisations dans les secteurs d'activité suivants : aérospatial et défense, secteur public, santé et sciences de la vie, industrie, énergie et ressources, technologies médias et télécoms, secteur financier et assurance.
La transformation digitale des entreprises implique plus de failles de sécurité notamment avec le cloud
58% des répondants placent la transformation digitale des entreprises comme enjeu prioritaire, juste derrière les résultats financiers (61%). Parmi les thèmes liés à la transformation digitale considérés prioritaires par les entreprises interrogées, le cloud arrive en tête à 38%, suivi de la mobilité à 24%.
Avec le cloud, les entreprises possèdent de moins en moins d'infrastructures sous leur contrôle. C'est la raison pour laquelle les fournisseurs cloud intègrent de plus en plus systématiquement des dispositifs pour sécuriser les données : accompagnements, attestations et certifications SOC2, PCIDSS, ISAE3402 et ISO2700X.
La norme PCI DSS (Payment Card Industry Data Security Standard) protège les informations confidentielles, sous le giron du Conseil des normes de sécurité PCI, fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. Elle s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes et/ou des données d'authentification sensibles, notamment les commerçants, les sous-traitants, les acheteurs, les distributeurs et les fournisseurs de services.
Le cadre de SOC2 est destiné à l'établissement d'un rapport réalisé suite à un audit indépendant dans les centres de données, chez les fournisseurs d'internet et autres entreprises de technologie. Il doit indiquer comment sont mis en oeuvre les contrôles et objectifs de sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée des données.
Pour aller plus loin :
De plus en plus de données récoltées... et à protéger
L'enquête révèle que les données clients sont considérées comme critiques à hauteur de 40% contre 10% pour les données de propriété intellectuelle (brevets...).
Le nouveau règlement européen sur la protection des données personnelles, le General Data Protection Regulation (GDPR), devra être appliqué d'ici à deux ans par les entreprises. Il concerne toutes les entreprises, administrations, collectivités locales et associations qui collectent, traitent et stockent des données personnelles dont les propriétaires peuvent être identifiés directement (par l'entreprise elle-même) ou indirectement (par un tiers). La plupart des sociétés sont donc concernées par ce nouveau règlement.
L'entrée en vigueur du GDPR oblige les organisations à s'assurer du consentement explicite des individus quant à l'utilisation qui sera faite de leurs données. Toutes les données doivent pouvoir être transférées à leur propriétaire ou effacées si ce dernier le demande. Le GDPR oblige également les organisations à être transparentes et à alerter les autorités compétentes en cas de constatation d'une fuite de données.
Enfin, la réglementation incite les entreprises à se doter d'une organisation interne en charge des questions relatives à la protection des données.
Augmenter l'expérience utilisateur... tout en proposant un service sécurisé grâce à l'authentification
Comment proposer un service sécurisé sans empiéter sur l'expérience utilisateur ? L'identité numérique est au coeur de cette problématique : une identité digitale unique et centralisée permet d'interagir avec l'ensemble du système d'information de l'entreprise.
L'authentification forte (MFA - Multi Factor Authentification) permet de valider l'identité des utilisateurs en proposant une alternative complémentaire au mot de passe (par exemple un mot de passe : ce que l'on connaît, avec une empreinte digitale : ce que l'on est ; ou encore un mot de passe : ce que l'on connaît, avec un code reçu sur son smartphone : ce que l'on possède).
Pour les systèmes moins critiques, l'expérience utilisateur est à privilégier avec l'authentification unique (SSO - Single Sign On) qui permet aux utilisateurs de s'authentifier une seule fois (mot de passe de l'ordinateur par exemple) pour toute la durée de la session, et ce indépendamment des autres applications utilisées.
Face à la nécessité de devoir constamment s'authentifier et saisir des mots de passe différents pour chaque application ou service, la fédération des identités apporte une solution efficace permettant une authentification et une propagation transparente des données entre applications. L'utilisation de fournisseurs d'identité tels que Facebook, Google, Twitter, etc. permettent, par l'intermédiaire de la création d'un profil " social ", d'associer l'identité aux nouveaux services proposés pour ainsi éviter la gestion multiple des mots de passe.
Faire de la gestion des risques une stratégie globale de son entreprise
Il faut associer la fonction cyber et les RSSI à la stratégie globale de l'entreprise.
Deloitte recommande par exemple d'adopter une approche " secure by design ", qui protège les intérêts essentiels de l'entreprise et non son ensemble, afin de rester agile: la supply chain pour les e-commerçants. Cela passe par le repérage de redondances dans les logiciels de sécurité, l'essayage de nouveaux produits, des tests d'intrusion...
Il peut être utile de rejoindre des communautés de Cyber Threat Intelligence (CTI) afin d'obtenir et de partager des informations concernant les attaques, les leçons qui en ont été tirées, les tactiques viables et celles qui ne le sont pas.
Des entreprises comme Google et Apple mettent en place des programmes qui récompensent les personnes qui découvrent des failles de sécurité dans leurs logiciels.
Deloitte rappelle que les PME sont la première cible des hackers dans le cadre de ransomwares (demandes de rançons pour récupérer des informations cryptées) puisqu'elles sont nombreuses à ne pas disposer de dispositifs de sécurité renforcés, et le taux de paiement de rançon y est plus élevé. Les partenariats de l'entreprise suscitent également l'intérêt des attaquants. La possibilité d'accéder aux données d'une entreprise par l'intermédiaire de son fournisseur est de plus en plus utilisée et peut ruiner la réputation d'une petite entreprise.
Pour aller plus loin :
État des lieux de la sécurité des sites e-commerce
![[Tribune] L'IA ouvre une nouvelle ère pour les expériences immersives](https://www.ecommercemag.fr/Assets/Img/BREVE/2024/10/464016/Tribune-ouvre-nouvelle-ere-les-L.jpg)
![[Best-of] Les retailers accélèrent sur le déploiement de l'IA](https://www.ecommercemag.fr/Assets/Img/BREVE/2024/8/462134/Best-retailers-accelerent-deploiement--L.jpg)
