carte blanche

À quand une notation en matière de cyber-sécurité?

Orange Cyberdefense

Quand vous achetez un frigo, vous attachez de l’importance aux meilleurs labels énergétiques? De la même manière que, dans le secteur financier, des notations permettent de vérifier si une société est rentable ou fiable, il serait utile d'introduire des notations de cyber-sécurité dans le cadre des activités commerciales.

Un score CPE pour votre habitation, un label énergétique pour votre frigo, un niveau maximal de CO2 pour votre voiture… A l’heure actuelle, nous attribuons un label à tout ce qui nous entoure afin de vérifier la qualité du produit que nous achetons. De même, dans le secteur financier, des notations permettent de vérifier si une société est rentable ou fiable. Mais comment savoir si vos partenaires satisfont aux règles en matière de sécurité informatique, en particulier compte tenu des strictes directives RGPD et des amendes qui l’accompagnent?

Ne tournons pas autour du pot, à mesure que l’économie accomplit sa transition numérique et que les données migrent toujours plus vers le cloud, il devient  plus intéressant pour les pirates de dérober des données. Un seul chiffre suffit pour l’illustrer: 531.596.111. C’est le nombre de fichiers de données qui ont été dérobés à l’échelle mondiale en l’espace d’un mois (septembre). Sur un an, le total dépasse amplement les 10 milliards. Un beau dix suivit de neuf zéros!

531.596.111
fichiers
Nombre de fichiers de données dérobés à l’échelle mondiale en un mois (septembre).

A cela s’ajoute que personne n’est à l’abri. Le phénomène concerne aussi bien les grandes multinationales, les pouvoirs publics que la PME wallonne moyenne. Ces dernières semaines on relève ainsi une attaque visant les plates-formes numériques du parti politique britannique Labour, des pirates qui exigent 6,8 millions de dollars, via un rançongiciel, àla compagnie pétrolière mexicaine Pemex… Chez nous, il y eut Asco à Zaventem et, plus récemment, une cyber-attaque visant l’Université d’Anvers et la société industrielle Picanol. La cyber-criminalité est donc en train de devenir l’un des principaux risques opérationnels pour les entreprises et les organismes. Elle a non seulement un impact sur le fonctionnement quotidien et sur le chiffre d’affaires - certaines sociétés sont paralysées plusieurs jours - mais elle est également néfaste pour la réputation d’une société.

Une cotation indépendante

Il est malheureusement fréquent que la cyber-sécurité ne fasse son apparition dans l’agenda du Conseil d’administration qu’après qu’un piratage ait eu lieu. Ce n’est qu’à partir de ce moment que la demande du département IT, sollicitant la mise en oeuvre d’une politique de cyber-sécurité digne de ce nom, n’atterrit plus dans l’oreille d’un sourd. Malheureusement, un responsable informatique éprouve des difficultés à expliquer les cyber-risques. Il s’exprime en termes techniques tandis que le Conseil d’administration parle souvent chiffres. Ou, autre possibilité, ce dernier s’interroge sur l’opportunité des gros investissements en cyber-sécurité que demande l’IT, partant du principe que le risque de voir la société être victime d’une attaque est réduit. (Il n’a par ailleurs pas conscience du nombre de tentatives d’attaques qui peuvent être stoppées à l’aide d’une bonne solution de sécurité.)

"Il est nécessaire d’attribuer aux entreprises, en plus de la notation financière qui qualifie leur rentabilité, une cotation de cyber-sécurité."
Jan De Bondt
Head of Cybersecurity Advisory Services chez Orange Cyberdefense

En fait, il est nécessaire d’attribuer aux entreprises, en plus de la notation financière qui qualifie leur rentabilité, une cotation de cyber-sécurité. Un chiffre ou un code qui signale, en un seul coup d’oeil, que ce soit vis-à-vis du monde extérieur ou des partenaires commerciaux, dans quelle mesure la société est protégée contre la cyber-criminalité. C’est une indication tout aussi importante que la première. Ce score objectif rend la dimension cyber-sécurité compréhensible par les administrateurs.

Imaginez en effet que votre entreprise investisse énormément en sécurité et soit parfaitement en règle avec la plus rigoureuse des législations. Vous exigeriez alors également de vos partenaires (et de vos clients) qu’ils veillent à garantir le même niveau de cybersécurité. Mais comment le vérifier? Un Security Rating indépendant vous permettrait de le savoir et vous sauriez avec quels vis-à-vis vous pouvez collaborer en toute sécurité. Cela devient alors un argument commercial.

Cela peut également jouer un rôle lors d’acquisitions. Si la notation Sécurité de votre société est A+ et que vous désirez racheter une autre société qui est affublée d’un score inférieur (C-), vous serez à même calculer de manière objective combien il vous en coûtera d’amener sa sécurité IT au même niveau. Et vous pourrez dès lors inclure éventuellement cet élément dans les négociations de prix.

Jan De Bondt
Head of Cybersecurity Advisory Services chez Orange Cyberdefense

Lire également

Messages sponsorisés