search

Accueil > Informations académiques > Ressources pour l’économie gestion > Table ronde Cybersécurité du 11.10.2019

Table ronde Cybersécurité du 11.10.2019

mercredi 13 novembre 2019, par Laurent DESCHAMPS

À l’initiative de monsieur François BAVAY, directeur régional Bourgogne Franche-Comté de la Banque de France et de monsieur Vincent THOMAS, doyen de la faculté de Droit, Sciences Économique et Politique de l’université de Bourgogne, s’est déroulée dans les locaux du Pôle Économie-Gestion de l’université de Bourgogne, le vendredi 11 Octobre dernier, une rencontre sur la cybersécurité. En voici le compte-rendu.

Les Intervenants :

- Monsieur Didier Elbaum, contrôleur général de la Banque de France,
- Madame Emilie Martin, associée au cabinet SPIEGEL-BLETRY-Martin,
- Monsieur Jérôme Richard, gérant de la société RESEAU CONCEPT
- Monsieur Roger, représentant du ministère de l’intérieur (DGSI – Direction Générale de la Sécurité Intérieure)
Ils ont tour à tour pris la parole devant une assistance composée de professionnels, salariés et chefs d’entreprises d’horizons divers, et d’institutionnels de différents ministères et collectivités.
Les débats étaient conduits par monsieur Lionel Brunet, adjoint au directeur régional de la Banque de France.
Début de l’intervention : 17h30.

Introduction
La problématique de la cybersécurité intéresse tout le monde et la banque de France en particulier dans la mesure où la cybercriminalité est en train de devenir le 1er sinistre financier. Elle génère des dégâts importants au sein des entreprises.

1. Pour introduire le sujet, c’est d’abord la question des enjeux qui a été abordée :

Dans un contexte mondialisé, de développement d’une société du numérique, l’émergence du big data (avec la création de data lakes) et les développements actuels et futurs de l’IA (intelligence artificielle) font de la question de la sécurité des données un point de préoccupation central pour les organisations aussi bien petites que grandes, publiques que privées (PME locales, Multinationales, Collectivités locales, Ministères).
Il faut considérer les données comme une source de valeur indéniable. Maîtriser la donnée est capital.
Elles sont un enjeu économique et financier. Pour les entreprises, c’est un actif à part entière. Il est donc logique que les entreprises cherchent à les protéger voire à les assurer.
Elles sont également considérées comme un enjeu de liberté et de démocratie. La maîtrise d’Internet par les Etats-Unis, par exemple, inquiète.
De nombreux exemples d’organisations préoccupées par le sujet ont été donnés par les intervenants rendant ainsi le propos très concret :
Exemples : Un magasin éphémère a ouvert pendant une semaine en Angleterre et dans lequel on paye en datas. Pour acquérir tel ou tel article, il fallait accepter d’ouvrir ses données pendant 1, 2 ou 3 jours.
Autres exemples : piratage des sites de préfectures, développement de solutions d’assurances de l’actif que constituent les données numériques.

2. C’est ensuite la question des contraintes réglementaires qui a fait l’objet des échanges entre intervenants et personnes de l’auditoire :

Le règlement général sur la protection des données (RGPD) a été bien évidemment, le noyau autour duquel le propos s’est construit.
La France a été le pays précurseur en matière de protection des données à caractère personnel lors de l’adoption de la loi de 1978 imposant la déclaration des traitements.
Aujourd’hui, le RGPD change de logique et met fin aux déclarations préalables. En revanche, il impose aux entreprises de prendre toutes les mesures possibles pour protéger les données. Il revient aux entreprises de se mettre en conformité avec les règles et d’apporter les preuves des mesures mises en œuvre en cas de contrôle par la CNIL.
Mais se conformer au RGPD ne signifie pas pour autant assurer la sécurité de ses données dans la mesure où ce règlement européen ne concerne que les données à caractère personnel. Il ne dit rien à propos de la nécessité de sécuriser le système d’information dans son ensemble.
Toutefois, il reste un levier d’action et de sensibilisation des personnels important.
Il apparaît même qu’il est aujourd’hui un texte de référence servant de base à la protection des données, en Europe mais aussi au-delà. Des entreprises américaines (GAFA) ont par exemple, de façon volontaire et sur leur territoire, adaptées leurs conditions d’utilisation et de traitement des données au RGPD. C’est le cas de Facebook qui a modifié son système d’information à l’échelle planétaire afin de mieux garantir la protection des DCP de ses membres.
Au sein des PME et les TPE, le RGPD a également été l’occasion pour les chefs d’entreprise de se poser la question de la protection des données qu’elles manipulent.
Le SYNTEC travaille aujourd’hui à la création de nouveaux métiers et à l’évolution des métiers (en partenariat avec le cabinet ANDRE) afin de mieux prendre en compte les problématiques liées à la protection des données : auditeurs, métiers de l’information, métiers d’avocat,…

3. Puis c’est la question des responsabilités et des sanctions qui a été traitée :

Il a été question des sanctions supportées par les organisations qui ne respectent pas la réglementation en vigueur (en effectuant par exemple un usage détourné des données qu’elles collectent).
Les contrôles sont effectués par la CNIL soit lorsqu’elle est saisie d’une demande de vérification (une dénonciation) émanant d’un client, d’une entreprise concurrente, d’un tiers, soit en cas de déclaration d’un défaut de sécurisation émanant du délégué à la protection des données de l’entreprise concernée (déclaration obligatoire dans les 72h, à défaut le DPD engage sa responsabilité pénale personnelle).
A la suite des investigations menées, la CNIL peut décider d’une sanction. Celle-ci est proportionnée à la sensibilité des données concernées. Par exemple, les données médicales sont considérées comme plus sensibles qu’une identité (nom, prénom).
La CNIL dispose d’un arsenal de sanctions : mises en demeure, sanctions pécuniaires pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise (la sanction pécuniaire la plus lourde sera retenue), publicité de la sanction. Cette dernière sanction s’avère redoutable car elle porte atteinte à l’image de marque de l’entreprise et sera pour certaines d’entre elles fatales.
De nombreux exemples d’entreprises mises en causes ont été donnés.

4. Il a été aussi beaucoup question du partage des responsabilités entre maîtrise d’ouvrage et maîtrise d’œuvre lors de l’externalisation du traitement des données informatiques (externalisation de résultats/externalisation de responsabilités).

Les entreprises ont recours à l’externalisation
- dans le but de faire appel à un spécialiste, pour bénéficier de meilleures compétences.
- afin d’optimiser les matériels : on estime l’économie possible d’environ 35 à 50% et en même temps l’externalisation offre la possibilité de profiter de matériels de plus haut de gamme (serveurs sécurisés, cryptovirus, pare-feu).
Toutefois, le maître d’ouvrage doit être très exigent avec son maître d’œuvre concernant les mesures à prendre en matière de protection des données. Le maître d’ouvrage doit veiller à ce que, dans le contrat d’infogérance, l’obligation de sécurisation des données apparaisse sans ambiguïté comme une obligation de résultat, aussi bien en termes de compétences à mettre en œuvre, que de délais à respecter ou encore de prix.
Il faut savoir qu’en matière d’assurance, les garanties proposées par les assureurs ne seront pas les mêmes selon que les données sont gérées en internes ou qu’elles sont confiées à un prestataire externe. La présence d’un sous-traitant minimise en principe les risques car il est en mesure d’assurer la sauvegarde automatique des données. En outre, en cas de perte de données, le maître d’ouvrage dispose d’un recours à l’encontre du sous-traitant et donc d’une possible indemnisation de la perte de ses données.

Parallèlement aux cas d’infogérance où la sécurisation des données s’impose aujourd’hui comme une évidence pour les professionnels du secteur, les situations où les données peuvent être perdues, attaquées, ou tout simplement diffusées volontairement, voire même sans s’en apercevoir sont très nombreuses.
Par exemple, dans le cadre d’un contrat d’externalisation portant sur le développement d’un logiciel, l’obligation de recette provisoire oblige l’entreprise cliente à fournir un jeu de données à son maître d’œuvre afin de pouvoir réaliser les tests nécessaires à l’avancée du projet.

Dans tous les cas, quelle que soit la modalité d’externalisation choisie, la responsabilité est supportée par celui qui délègue / externalise, donc par le maître d’ouvrage.

5. C’est enfin le sujet des solutions à mettre en œuvre qui a animé la dernière partie des débats :

Face à la croissance exponentielle des cyber-attaques au niveau mondial (67% des entreprises ont déjà subi une attaque. En France, huit entreprises sur 10 sont concernées.) et au coût que cela représente (9 millions d’euros par an), il convient de sensibiliser les entreprises à une cyber hygiène de base :
- faire un audit régulier de son système d’information pour en repérer les forces et les failles
- sensibiliser les salariés (charte, communication, formation) aux comportements adéquats
- veiller aux facteurs organisationnels : modalités de sauvegarde, authentification (gestion des droits d’accès selon la fonction), mises à jour des systèmes, tests de sécurité par des hackers éthiques.

Les entreprises doivent avoir conscience qu’il est très difficile d’évaluer les pertes financières liées à une cyber-attaque :
- on peut avoir à payer une rançon (en moyenne entre 50 000 $ à 170 000 $) sans avoir la garantie de pouvoir récupérer ses données.
- mais il faut aussi compter le coût du remplacement des matériels, le coût de la perte de données, le coût en temps passé à remettre le SI en état, la perte de l’image de marque,...
- à cela s’ajoute les pertes d’exploitation liées à l’arrêt du travail (en moyenne, on estime que les pertes d’exploitation s’élèvent à 50 000 € pour 2 jours).
- enfin, il faut ajouter les dépenses curatives (installations de logiciels, formations aux bonnes pratiques).

Pour permettre la protection des données, de nombreux outils sont à la disposition des personnes détentrices de datas.
Des solutions techniques …
- gestion des accès,
- mises à jour et changement de versions régulièrement, etc.
… mais aussi des solutions humaines : les intervenants ont énuméré les « bonnes pratiques » à mettre en œuvre pour assurer un niveau de sécurité minimum :
- l’exemplarité du top management : le haut management doit s’impliquer dans les cyber-problématiques et s’astreindre lui-même aux règles de sécurité. Il lui revient d’impulser les bonnes pratiques.
- la sensibilisation des personnels.

Il est possible de s’appuyer sur la norme ISO 27001 et le guide des bonnes pratiques diffusé par l’ANSSI pour orienter la réflexion sur le sujet.
L’ANSSI est par ailleurs, l’auteur d’un MOOC en ligne, intitulé cybermalveillance.gouv.fr.

Enfin, Il a été évoqué la responsabilité des individus dans la protection des données dont ils sont émetteurs :
- Il est nécessaire de prendre conscience de l’usage qui est fait de nos données et de la manière dont chacun les diffuse : « Si c’est gratuit, c’est vous le produit ».
- Concernant les mots de passe, il revient à chacun de changer ses mots de passe régulièrement, de ne pas les noter quelque part ou encore de faire en sorte qu’ils soient complexes.
- En cas d’attaque, il faut réagir le plus vite possible. Le temps est important.

A titre indicatif, aujourd’hui, il faut 3 minutes à un hacker pour découvrir un code à 4 chiffres sur un téléphone portable, 50H pour un code à 6 chiffres et 165 jours pour un code à 8 chiffres.

À l’issue de cette rencontre, des échanges informels ont pu avoir lieu entre intervenants et personnes du public.
3 points complémentaires peuvent être rapportées :
1/ Le fonctionnement de notre société numérique repose aujourd’hui sur quelques entreprises privées. Cela pose la question de l’avenir de notre société. La mise en conformité et la protection des données vont au-delà des capacités financières des Etats. Il est donc très difficile d’envisager un contrôle efficace des données, même si les tentatives de régulation permettent des avancées sur ces questions.

2/ Sur le plan institutionnel, en France, le lutte contre la cybercriminalité est organisée :
- Les mesures préventives sont diffusées par l’ANSSI.
- Les mesures répressives sont menées par la gendarmerie, la police judiciaire, la DGSI.
- Et au niveau européen, ce rôle est dévolu à Interpol.

3/ Les intermédiaires techniques (hébergeurs, FAI,…) sont considérés comme des coéditeurs de tous les écrits qui sont stockés sur leurs serveurs, et donc sont coresponsables en cas de comportements litigieux.

La rencontre prend fin vers 19h00.

CR réalisé pour le compte du rectorat de Dijon,
À la demande de Madame Claude Valtat IA-IPR Économie-Gestion
Aurélie Guillon, Nadia Haddad, Thomas Virely, professeurs Économie-Gestion, Lycée Le Castel (21)