La Cybersécurité au-delà de la technologie , livre ebook

Odile Jacob - Philippe Trouchaud

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

93 pages

Français

Vous pourrez modifier la taille du texte de cet ouvrage

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

A propos
Informations
Extrait

Description

On ne compte plus aujourd’hui les entreprises victimes de piratage sur Internet. Objet de toutes les convoitises, les données personnelles constituent l’« or noir du XXIe siècle ». Or, en dépit d’investissements souvent massifs, leur protection reste toujours insuffisante. Quels sont les ingrédients d’une cybersécurité réussie ? Pourquoi les technologies les plus sophistiquées sont-elles si souvent mises en échec ? Ce livre le montre : pour protéger efficacement les données, les technologies les plus pointues ne suffisent pas. Un chiffre permet d’en comprendre la raison : au sein des entreprises, un tiers des accidents de sécurité sont le fait de collaborateurs de l’entreprise. Comment mieux souligner l’importance de la formation aux risques de sécurité ? Mettant l’accent sur le capital humain et le rôle de l’organisation, l’auteur propose des solutions innovantes pour sortir du tout-technologique et du « marketing de la peur ». Philippe Trouchaud, associé au sein du cabinet PwC (PricewaterhouseCoopers), est responsable du développement des activités de cybersécurité pour l’Europe, le Moyen-Orient et l’Afrique. À ce titre, il conseille les directions des entreprises du CAC 40, de groupes internationaux et de grands acteurs de l’Internet. Auteur de nombreux articles sur le sujet, il intervient fréquemment lors de conférences liées aux enjeux managériaux de la cybersécurité. Jean-Baptiste Rudelle est fondateur et Président directeur général de Criteo.

Sujets

Engineering

Technology

Sciences et techniques

Social Aspects

Informations

Publié par	Odile Jacob
Date de parution	10 février 2016
Nombre de lectures	37
EAN13	9782738163691
Langue	Français

Informations légales : prix de location à la page 0,0900€. Cette information est donnée uniquement à titre indicatif conformément à la législation en vigueur.

Extrait

L’ensemble des droits d’auteur sera versé à l’Union professionnelle des travailleurs handicapés (UPITH), association loi 1901 , reconnue d’intérêt général, qui représente et accompagne depuis 2008 les entrepreneurs en situation de handicap. Plus de 260 entrepreneurs handicapés dans la France entière font aujourd’hui partie de ce collectif.
© O DILE J ACOB , FÉVRIER 2016 15, RUE S OUFFLOT , 75005 P ARIS En couverture : © DigitalVision/Hippocampe Song.
www.odilejacob.fr
ISBN : 978-2-7381-6369-1
Le code de la propriété intellectuelle n'autorisant, aux termes de l'article L. 122-5 et 3 a, d'une part, que les « copies ou reproductions strictement réservées à l'usage du copiste et non destinées à une utilisation collective » et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, « toute représentation ou réproduction intégrale ou partielle faite sans le consentement de l'auteur ou de ses ayants droit ou ayants cause est illicite » (art. L. 122-4). Cette représentation ou reproduction donc une contrefaçon sanctionnée par les articles L. 335-2 et suivants du Code de la propriété intellectuelle.
Ce document numérique a été réalisé par Nord Compo .
PRÉFACE
La confiance : condition de la cybersécurité

par Jean-Baptiste Rudelle

Lorsque j’ai été sollicité pour écrire la préface de cet ouvrage sur la cybersécurité, mon premier réflexe a été de dire non. Tout simplement parce que je ne me considère vraiment pas comme un expert du sujet. Comme probablement la plupart des chefs d’entreprise d’ailleurs.
Pourtant, en tant que dirigeant d’une entreprise Internet, c’est un sujet auquel nous sommes confrontés tous les jours. Pour la plupart des acteurs de notre écosystème, la cybersécurité touche en effet directement les opérations clés de l’entreprise. Nos clients e-marchands sont confrontés depuis toujours à la fraude sur les paiements. Dans le domaine de Criteo, qui est celui de la publicité numérique, la fraude existe aussi. Elle se manifeste le plus souvent sous la forme de clics fantômes sur des bannières de publicité qui ne correspondent à aucun internaute réel.
Chez Criteo, nous avons pris ce sujet très au sérieux dès le début. En analysant en temps réel le « taux de conversion » (les ventes réelles réalisées sur un site marchand qui suivent un clic sur une bannière de publicité), nous arrivons à détecter immédiatement les petits malins qui essaient de se faire payer pour des faux clics. Quand il y a un gain financier à la clé, même très faible, l’imagination des fraudeurs est sans limite et il faut toujours rester aux aguets. Lorsque vous travaillez comme nous avec des milliers de partenaires répartis sur une cinquantaine de pays dans le monde, cette surveillance nécessite des infrastructures techniques très sophistiquées. Cet investissement était pour nous stratégique, car il en allait de la crédibilité même de notre service vis-à-vis de nos clients.
De manière générale, la plupart des entreprises de notre secteur sont très vigilantes envers ce type de cybercriminalité qui touche l’essence même de leur business. Il en va souvent autrement pour les autres formes de cybersécurité qui sont en général traitées avec beaucoup moins d’attention, notamment par les petites start-up qui ont « d’autres chats à fouetter ».
Lorsqu’on démarre sa start-up à partir de zéro, les questions de cybersécurité arrivent très loin sur la liste des priorités. Pourquoi s’inquiéter d’une éventuelle intrusion malveillante si, de toute façon, le produit qu’on propose ne marche pas ? La priorité est le produit, et ensuite le démarrage commercial pour conquérir les premiers clients. C’est lorsque le succès commence à arriver et qu’on entre dans la fameuse phase d’hypercroissance – à laquelle toute start-up aspire – qu’on commence en général à se poser ce type de questions.
À ce titre, sans être trop obnubilé par la sécurité au démarrage du projet, cela ne fait pas de mal d’acquérir en amont un bagage minimal sur les concepts fondamentaux de la cybersécurité. Cela permet notamment, le moment venu, lorsqu’il devient indispensable d’installer de robustes infrastructures de sécurité, que la transition ne soit pas trop difficile. D’un point de vue à la fois humain et d’architecture technique.
C’est dix-huit mois avant notre IPO ( Initial Public Offering , introduction en Bourse) sur le Nasdaq que nous avons commencé chez Criteo à nous préoccuper sérieusement du sujet. Pour rentrer dans la cour des grands, il fallait absolument acquérir une démarche structurée sur le sujet. Nous avons démarré par des choses très simples comme une sécurisation accrue des mots de passe. Dans un second temps, nous sommes passés à des projets plus ambitieux. Il a fallu par exemple réglementer l’accès des employés à toutes les ressources critiques de l’entreprise (financières, techniques, commerciales). Au lieu de l’accès libre de tous à tout, chaque employé selon les besoins de ses missions n’avait plus accès qu’à des ressources spécifiques. Ce fut un énorme chantier qui nous a occupés plus d’un an et a mobilisé de précieuses ressources techniques. Il aurait été tentant de continuer à développer de nouveaux produits avec ces mêmes ressources. Mais nous avons compris que ce chantier était un préalable impératif à tout projet sérieux de cotation en Bourse, en particulier aux États-Unis où la réglementation sur la couverture des risques est particulièrement draconienne.
Maintenant que nous sommes une entreprise cotée au Nasdaq, la cybersécurité est devenue pour nous de facto un vrai sujet stratégique.
Au point que, il y a quelques mois, s’est tenue une réunion formelle du conseil d’administration spécialement sur ce sujet. Nous avons cartographié les types de risques possibles en les classant en fonction de deux axes : la probabilité d’occurrence et le niveau d’impact.
Cette analyse de probabilité est fondamentale pour bien évaluer les risques. Peu de gens vous attaquent juste pour le plaisir. Les scénarios à forte probabilité sont presque toujours liés à l’attrait d’un gain financier potentiel.
Nous avons bien sûr, en priorité, focalisé nos efforts sur les scénarios à fort impact et à forte probabilité. Pour les cas à faible probabilité, l’analyse économique des moyens de prévention devient déterminante. Si c’est facile à couvrir, autant le faire, mais, dans certains cas, il aurait fallu des investissements déraisonnables pour se prémunir des actions les plus tordues. Cela veut donc dire que nous avons acté le fait que nous ne pouvions pas, par définition, tout couvrir. Aussi, même si cela peut paraître frustrant à première vue, il faut accepter de vivre avec un minimum de risque. Autrement dit, le risque zéro n’existe pas. La clé est de trouver le juste équilibre entre moyens techniques et niveau de protection. Évidemment plus les enjeux financiers à la clé sont importants, plus le sujet prend de l’ampleur.
Les investissements technologiques ne peuvent pas tout non plus. C’est pourquoi le sujet de la cybersécurité est indissociable de celui de la confiance. Une grande partie des failles de sécurité sont en fait des failles humaines, voulues ou non. La formation et plus généralement la culture interne de l’entreprise jouent un rôle majeur dans la sécurisation des opérations.
On pourrait d’ailleurs étendre cette question de confiance à l’ensemble de l’écosystème Internet. En 2015, il reste encore des internautes qui ont toujours peur de se faire pirater leur carte bleue et ne veulent pas acheter en ligne. Autrement dit, un frein majeur au développement de l’e-commerce est un problème de confiance autour de la fraude sous toutes ses formes.
Cet exercice d’analyse des risques est sans doute plus facile à faire pour les entreprises du monde Internet. Disons qu’elles ont par nature une conscience plus aiguë des enjeux de la cybersécurité. Cela ne veut pas dire que les autres peuvent se permettre de faire l’impasse sur le sujet.
Le numérique est maintenant présent d’une manière ou d’une autre dans toutes les industries. Désormais, toute entreprise est tenue d’appliquer un « minimum syndical » pour assurer sa cybersécurité, sous peine de commettre une vraie faute de gestion. Au-delà du socle fondamental que toutes les entreprises devraient posséder, la question touche à la sensibilité au risque de chaque société.
À chacun de mettre le curseur là où il le sent. Mais, pour faire cela, encore faut-il avoir conscience des enjeux. D’où l’intérêt d’un ouvrage comme celui-ci.
Bonne lecture.

Jean-Baptiste R UDELLE , cofondateur et président-directeur général de Criteo
Introduction

Un doigt presse le bouton « Enter » du clavier d’un ordinateur, les données partent dans des tuyaux, puis dans d’autres tuyaux et puis encore et toujours dans des tuyaux. Quelques instants plus tard, une centrale nucléaire chinoise s’embrase et explose. Cet accident nucléaire est une catastrophe. Elle a été provoquée par un hacker. Très vite la machine s’emballe et les meilleurs cyberexperts des différents services secrets internationaux travaillent de concert pour traquer les terroristes.
C’est la première scène du dernier film de Michael Mann intitulé Hacker . Dans ce film, le hacking , l’espionnage industriel grâce aux données, le piratage privé et étatique sont au cœur du propos. Signe des temps. Signe que la protection des données stratégiques des infrastructures et des systèmes industriels est un enjeu capital. Pas étonnant, tant les affaires WikiLeaks, Snowden et plus récemment Swiss Leaks ont démontré à quel point ces données peuvent être sensibles.
Pas étonnant lorsqu’on lit les déclarations des responsables de l’armée chinoise. « La cyberguerre est un nouveau mode de combat. Complètement invisible et silencieux. On l’utilise évidemment pendant les guerres physiques, mais aussi et surtout tous les jours en politique, en économie et même en science », révélait Ye Zheng dans le Wall Street Journal du 29 juillet 2015.