Quels sont enseignements à tirer de la crise sanitaire ?

« Le confinement a été une transformation numérique à part entière pour les entreprises, à marche forcée : d’une part, en à peine quelques jours, la mise en place du télétravail massif pour le secteur tertiaire a forcé la relation de confiance entre employeur et employé ; d’autre part, pour la première fois à cette échelle, les outils collaboratifs se sont imposés en une nuit. Et dans un contexte inattendu d’augmentation des cyberattaques, la prise de conscience des enjeux de cybersécurité a été violente pour ceux qui ont eu à gérer une cybercrise dans la crise sanitaire. Conséquence, si les budgets SI sont sérieusement en berne (-20% selon le retour de nos clients), ceux de la cybersécurité se tassent mais dans des proportions bien moindres, et certains sont même maintenus. »

Vos clients étaient-il prêts à affronter une pandémie ?

« Depuis plus de 10 ans, nous simulons des exercices de gestion de crise pour nos clients : la pandémie est l’un des 50 scénarios que nous jouons. L’exercice le plus récent que nous avons réalisé avec un scénario de pandémie date du mois de novembre. Nous avons entraîné le Comité de Direction d’un client bancaire avec un scénario très proche de la crise sanitaire que nous venons de traverser. Le 16 mars, ils étaient sereins ! En observant nos clients gérer cette crise sanitaire, nous avons encore une fois constaté combien une crise agit comme révélateur de la culture, des valeurs et de la dynamique d’une entreprise. Il y a eu des couacs, de vraies frayeurs mais, au final, peu de casse visible pour l’instant. Donc, oui, on peut dire que le niveau de préparation était satisfaisant chez nos clients (ce sont principalement des Grands Comptes). Passé le temps de la gestion urgente de la crise sanitaire pour lequel nos clients sont relativement bien préparés, nous entrons maintenant dans le temps long de la crise économique et sociale. Et là, les impacts s’annoncent forts. »

Et demain, que va-t-il se passer pour la cybersécurité ?

« Post COVID, on anticipe une accélération des tendances de fond déjà amorcées et quelques nouvelles préoccupations :

Tendance n°1 : la cloudification va encore s’accélérer :

« Le confinement a amené de sérieuses contraintes sur les infrastructures réseaux et télécoms des foyers et des communautés. Pensez à près de 8 millions de salariés du privé en télétravail ! Ce test de charge grandeur nature a validé le bon dimensionnement de ces infrastructures. L’usage des outils collaboratif s’est généralisé (« Les hommes ne voient la nécessité que dans la crise » disait Jean Monnet). Le mouvement de cloudification va encore s’accélérer. Avec lui, les mesures de protection spécifiques aux enjeux de cybersécurité vont générer de nouveaux projets ou faire de nouveaux projets avec de vieilles problématiques : micro-segmentation, gestion des identités et des accès, surveillance et détection, analyse comportementale des usagers, chiffrement, etc. »

Tendance n°2 : une crise ne sera plus une excuse pour diminuer les exigences de cybersécurité :

« Ceux qui ont accepté une forte dégradation des fonctions de cybersécurité pendant la crise s’en sont parfois mordus les doigts face l’explosion des attaques ciblées. La situation vécue a fait la démonstration qu’établir des processus de cybersécurité résilient aux temps de crise n’est pas une option. Faute de l’avoir fait, certaines entreprises se sont retrouvées démunies face à une situation de suraccident : la crise dans la crise, quand les attaques cyber se sont ajoutées à la crise sanitaire. C’est pourtant une exigence à laquelle l’ISO 27002 consacre un chapitre entier (17), chapitre souvent mal compris : on pense qu’il s’agit d’exiger des mesures de continuité d’activité et du SI quand, en réalité, l’essentiel exprimé est qu’être en crise ne justifie pas de baisser la garde des mesures de cybersécurité. »

Tendance n°3 : l’élargissement massif du télétravail fait émerger de nouveaux enjeux de sécurité :

« Face à la vague de fond de la généralisation du télétravail (6 employés sur 10 veulent poursuivre le télétravail généralisé), les RSSI vont devoir faire face à 2 nouvelles problématiques : techniques d’une part (sécurisation des outils collaboratifs, maitrise des outils collaboratifs non autorisés (comme on l’a vu dans le débat autour de Zoom), contrôle et détection de la fuite de données…) ; organisationnelle d’autre part (accès aux outils de travail par des proches, information plus difficile à protéger dans le cadre familial, protection physique des actifs dans un cadre privé, etc.). »