Les intervenants présents lors de cet atelier :
– Nacira Salvan, Docteure en informatique,
– Sabine Marcelin, Avocate en droit numérique et cybersécurité, cabinet DLGA,
– François-Xavier Vincent, Directeur de la sécurité informatique, Oodrive,
– Marc German, Consultant en cybersécurité,
– Benjamin Mallo, Adjoint au maire chargé de la vie associative, du développement économique et de la nouvelle économie et de l’emploi,
– Emmanuel Lafont, président fondateur de Sparte RH.

Avec le confinement, le télétravail, la rupture économique, l’accélération de la digitalisation et de la numérisation des pratiques et modes de travail, le monde du travail assiste à une révolution économique et sociétale. Une conjoncture qui est source d’opportunités mais qui renforce également les menaces et notamment les risques numériques à l’instar des deux hôpitaux de Dax et Villefranche-sur Saône qui ont été victimes de cyberattaques.

Face à ce phénomène de société qui prend de l’ampleur, l’Etat a dévoilé en début d’année, sa stratégie sur la cybersécurité avec un investissement d’un milliard d’euros et une ambition de créer 40.000 emplois dans le secteur d’ici 2025.
Mais que représente la cybersécurité et quels sont les enjeux pour les entreprises et les institutions ? Nos témoins et experts ont échangé sur le cadre juridique et ses limites, les bonnes pratiques à adopter pour sécuriser ses données et enfin, le rôle de la formation dans les mesures de sécurité à adopter.

La loi : comment utiliser le cadre juridique pour renforcer la cybersécurité ?

Sabine Marcellin précise que les entreprises ont une obligation légale de se protéger tout d’abord pour assurer une résilience des structures étatiques, puis dans l’intérêt des entreprises afin de renforcer leur sécurité de l’information et fin pour que les démarches de conformité puissent permettre de développer une conscience collective en matière de sécurité.

Pour Marc German, la mise en place d’un cadre juridique est essentielle mais la protection des données doit se faire en amont. La sécurité de l’information est constituée d’une chaine qui regroupe le matériel (hardware), la sécurité logiciel (les codes sources), la sécurité des réseaux et enfin le maillon faible : le comportement des utilisateurs.

Quant à François-Xavier Vincent, il revient sur la notion de souveraineté à travers les enjeux de la juridiction applicable. Il invite les entreprises à bien définir en amont la juridiction à laquelle leurs données sont soumises et notamment lorsqu’on fait appel à des prestataires ou fournisseurs externes afin d’avoir conscience et être lucide des risques associés.

Les bonnes pratiques à adopter pour sécuriser ses données

Nacira Salvan souligne que le but d’un cybercriminel est de trouver la faille dans le système de sécurité alors que les entreprises cherchent à protéger un château. Ainsi, elle préconise de se focaliser sur trois paramètres : quoi protéger, contre qui et avec quelle technologie. La sécurisation des données relève pour cette experte plus du bon sens que de la technologie.

Marc Germain insiste sur la notion de priorisation des données à protéger. A vouloir tout protéger, on ne protège rien en fin de compte. Il est également nécessaire selon ce dernier de varier le niveau de protection par rapport au niveau d’importance des données à sécuriser.

Au-delà des bonnes pratiques, la question de la bonne attitude a été évoquée lors de ce débat. Benjamin Mallo revient sur la notion de mouvance des modèles d’entreprises qui s’hybrident et remet en question la valeur de la ressource humaine par rapport à la valeur des données devenue cruciale. Alors, afin de protéger ces données faut-il uniquement se défendre ou adopter une approche plus offensive ?

Pour nos experts, les cybercriminels se professionnalisent avec des créations d’entreprise et de call center pour mener à bien leurs attaques. Face à cette menace qui se structure, l’attaque semble être une solution adaptée.

En cybersécurité, la formation se fait dans la durée

Les intervenants ont évoqué plusieurs perspectives de formation. La première, abordée par Nacira Salvan, concerne les femmes dans les métiers de la cybersécurité qui représentent moins de 20% des salariés du secteur. Elle revient sur le stéréotype qui existe dans ce secteur, la méconnaissance et la réputation qui entourent cette filière. Autant d’éléments qui, selon elle, font fuir les femmes.

Pour Marc German, le problème de manière générale n’est pas l’offre de formation mais les candidats qui font défauts. Ce dernier précise que le secteur ne manque pas d’experts en cybersécurité. L’effort à faire réside dans la formation des utilisateurs et cette démarche est encore peu valorisée dans les entreprises qui préfèrent se concentrer sur des formations dites plus concrètes.

Quant à François-Xavier Vincent, il estime que les efforts de formation qui sont faits dans le monde professionnel ne se traduisent pas dans la vie privée. Ainsi, par facilité ou encore pour éviter de perdre du temps, les utilisateurs adoptent des pratiques risquées. Enfin, Sabine Marcellin revient sur l’importance de la formation des jeunes pour les sensibiliser aux conséquences des technologies. Pour cette dernière sans un mécanisme de prévention et de formation, il est difficile de se battre contre par exemple le cyberharcèlement.

Pour conclure, comme le précise Marc German, il est important d’être conscient de l’hygiène comportementale. Face à un outil aussi puissant que le numérique, il faut se préparer, s’entourer et enfin mettre en place des stratégies adaptées à nos besoins. La cybersécurité est incarnée dans l’imaginaire populaire comme une scène de guerre : les cybercriminels vs les entreprises. La protection des données est un enjeu majeur pour les entreprises sans oublier que derrière toute cette technologie, l’humain reste le créateur. Donc, n’oublions pas que débrancher et se déconnecter restent des options viables.