Que recouvre le terme cybersécurité ?

Jan De Blauwe : « À la fois la sécurité de l’information et celle des systèmes d’information. Elle vise à protéger l’information d’un individu, d’une entreprise ou d’un gouvernement contre des menaces éventuelles. Ces menaces augmentent, notamment suite au fait que de plus en plus de systèmes d’information sont connectés les uns aux autres. De plus, cette information est stockée, manipulée et traitée par le système numérique. Les menaces principales sont l’intrusion des systèmes, la fuite des données et la non-disponibilité des systèmes. Le modèle utilisé par les autorités belges distingue quatre formes de cybercriminalité : l’extorsion, le sabotage, l’espionnage et la fraude. »

 

Quelle est l’ampleur du phénomène ?


Le modèle utilisé par les autorités belges distingue quatre formes de cybercriminalité : l’extorsion, le sabotage, l’espionnage et la fraude.
 

J. D. B. : « Les chiffres disponibles sont peu fiables du fait qu’ils ne couvrent pas l’ensemble des occurrences. Selon diverses enquêtes belges et internationales, nous savons cependant que la majorité des entreprises et des individus ont été confrontés un jour à ces menaces et que le coût estimé de chaque incident s’élève en moyenne à quelque 20 000 euros pour les entreprises belges victimes d’extorsion. Aux États-Unis, on atteint des montants bien plus importants, de l’ordre de 100 000 dollars en moyenne. Lors d’incidents récents, plusieurs entreprises ont affirmé que le coût pour chacune d'elles dépassait les 250 millions de dollars ! »

 

Des entreprises payent ces montants et passent ces incidents sous silence. Qu’en pensez-vous ?

J. D. B. : « La règle est de ne pas payer ! D’autant plus que les fraudeurs sont très peu fiables et que l’on n’a aucune garantie que l’extorsion cessera après le paiement. En outre, par le fait de payer, on entre dans un cercle vicieux, car le fraudeur est confirmé dans ses mauvaises actions. Ne pas communiquer sur un événement de cybercriminalité est également une mauvaise solution : si cet événement devient public, l’image de la société est entachée. Cela a été le cas avec un bureau responsable de Credit Ratings des citoyens aux États-Unis, qui a été très lent à réagir et dont la réputation a souffert au point d’être impacté en bourse. Enfin, communiquer sur de tels incidents permet de mettre en place des mesures de protection pour éviter des attaques ultérieures auprès d’autres sociétés. »
 

 

Comment cette communication est-elle assurée ?

J. D. B. : « Tout d’abord, c’est là l’un des objectifs de la Cyber Security Coalition : encourager le libre partage d’informations, parfois sensibles, entre pairs, dans un climat de confiance. Ensuite, cette communication deviendra une obligation légale pour certaines entreprises. En effet, la directive européenne Network Information Security (NIS) impose aux entreprises "fournisseurs de services essentiels" d’informer les instances nationales en cas de problème. Cette directive sera transposée sous peu dans la loi belge. En outre, le règlement général sur la protection des données (GDPR), entré en vigueur ce 25 mai, reprend cette même obligation d’informer les instances dans un délai de 72 heures si une perte de données personnelles se produit. »

 

Quels conseils donner aux entreprises pour se prémunir des cyberattaques ?


Le GDPR, entré en vigueur ce 25 mai, impose aux entreprises l’obligation d’informer les instances dans un délai de 72 heures si une perte de données personnelles se produit.
 

J. D. B. : « Un : sensibiliser l’équipe managériale aux risques encourus. Deux : désigner une personne responsable de ce sujet dans l’organisation. Trois : mettre en place un plan d’action sur-mesure en fonction de l’activité de l’entreprise, notamment en se basant sur une série de cadres internationaux apportant une aide précieuse pour se situer et se lancer dans l’analyse des risques. Quatre : sensibiliser les collaborateurs aux risques. En cas d’incident ou de crise, il est important d’être suffisamment préparé afin de ne pas perdre trop de temps, de gérer les choses de manière fluide et efficace. Hors de l’entreprise, il importe aussi de sensibiliser ses fournisseurs pour limiter les risques. »

 

Quelles sont les missions d’un organisme de coopération inter-organisationnelle comme le vôtre ?

J. D. B. : « Elles s’articulent autour de quatre grands axes. Premièrement, le partage d’expériences et de bonnes pratiques, que nous concrétisons via l’organisation d’événements permettant aux membres de mieux se connaître et de générer des partenariats autour de certains sujets. Le deuxième axe est le lancement de campagnes de sensibilisation en collaboration avec le Belgian Cyber Security Center. Il s’agit par exemple d’attirer l’attention des étudiants sur les problèmes de cybersécurité et, éventuellement, de les intéresser à faire carrière dans ce domaine. Le troisième est de travailler avec d’autres instances, notamment nationales, pour traiter de sujets échappant à notre contrôle et demandant par exemple une action gouvernementale. Exemple : des sujets juridiques exigeant une législation adaptée pour mieux répondre à certains types de fraude. Le dernier axe est représenté par nos groupes de travail constitués d’experts, qui se concentrent sur des sujets pointus comme la clarification du GDPR ou la réponse aux menaces en gestion des incidents, la sécurité du cloud nuage et développement d'applications sécurisées. »