Situation Cyber des PME en Suisse
Les PME une cible facile
Le risque au niveau de la Suisse, se situe surtout à niveau des PME, car appelons un chat un chat, les membres de direction de ces entreprises ne prennent de loin pas au sérieux cette thématique qui leur échappe totalement. J’exclus volontiers dans cette première partie, les entreprises >500 employés, car elles ont pour la grande majorité fait les premiers pas nécessaires pour augmenter la maturité de la partie cyber.
Premièrement, on associe trop souvent la sécurité de l’information à des actions techniques et IT, au lieu de les intégrer dans une démarche « Risk Management » et la gérer comme les autres disciplines dans une entreprise. La complexité des systèmes informatiques liés aux exigences pointues en cyber sécurité donne du fil à retordre aux managers, qui n’ont pas l’habitude de faire face à ce type de situation. Pour beaucoup de managers c’est évident que dans tels cas, il faut associer des expertes externes pour démarrer cette analyse, mais d’autres ne savent pas comment agir. À ce jour, cette incapacité d’agir du management face au risque cyber et très inquiétant et mets en péril les organisations.
La deuxième problématique que j’observe dans mes mandats de conseils, qu’on retrouve aussi dans des entreprises allant jusqu’à 1000 employés, est l’association que le management fait entre les compétences IT et les compétences en sécurité de l’information. Étant donné que le management a de la peine à agir et que la cyber sécurité a une aire d’un domaine technique, ils délèguent cette tâche à l’IT. D’ailleurs, ces entreprises parlent de sécurité de l’informatique et non de sécurité de l’information (plus de détails à ce sujet plus pas). Le responsable IT, ne sachant pas non plus comment agir et pour ne pas passer comme incompétent vis-à-vis de sa direction, prend cette lourde tâche et mets en œuvre un plan d’action très technique (Nouveau firewall, remplacement anti-virus, SIEM, des outils next-gen et AI powered, etc.) Certainement intéressant, mais quel est le ROI de tout ça ? On peut mitiger quel risque ? Des réponses qui tardent à arriver…
Après cette mise en scène digne d’un théâtre, les acteurs se félicitent de l’excellente idée qu’ils ont trouvée. Dans les faits, on est loin d’avoir une bonne maîtrise et maturité de gestion de la sécurité de l’information. Une interruption de la scène de théâtre est inévitable et réelle.
Entracte sur la Sécurité IT vs. Sécurité de l’information
Je préfère parler de sécurité de l’information ou des systèmes d’information, plutôt qu’IT, pour justement casser cette vision que l’informaticien doit être en charge de ce rôle. La politique de sécurité a pour but d’assurer : la Disponibilité, la Confidentialité et l’Intégrité de l’information (un document Word, un document papier, une commande dans votre ERP, une pièce comptable, etc.). Si ce but peut être atteint au niveau de l’information, on peut implicitement déduire que la sécurité IT est également assurée, car c’est entre autres ces systèmes qui ont été configurés par des informaticiens, pour garantir une haute disponibilité de l’information. La définition des niveaux de sécurité, ainsi que les contrôles mis en place pour assurer cette sécurité sont traités par des spécialistes en sécurité de l’information ! Vous pouvez comparer ceci au domaine médical où on différencie bien les fonctions des médecins. Un médecin généraliste a toutes les compétences pour ordonner un traitement pour la plupart des besoins d’une personne. En fonction du domaine, par exemple, neurologie, le généraliste fait appel à ce spécialiste. Ce qui semble logique dans le monde de la médecine, ne l’est malheureusement pas dans le domaine de l’informatique.
L'informaticien plus qu'un seul métier
Pour illustrer les métiers de l’informaticien et surtout pour montrer qu’il existe une multitude de rôles et compétences dans ce domaine, voici un lien vers swissICT (qu’en allemand), qui présente tous les métiers de l’informatique : https://www.berufe-der-ict.ch/berufe. En regardant cette liste, on peut qu’admettre que « informaticien » ne veut plus rien dire.
Retour au cas pratique : les audits
Lors des audits que j’ai effectués ces dernières années, on trouve de gros manquements dans de multiples domaines quand on veut réellement lancer la gestion de la sécurité de systèmes d’information, voici quelques exemples :
- Analyse des cyber-risques inexistants ou avec des risques non quantifiés
- Pas d’analyse d’impact des risques sur le business (liens avec la réalité)
- Aucune politique de sécurité de systèmes d’information pour donner un cadre
- Charte et règlement d’usage des utilisateurs très lacunaires et orientés pour surveiller les collaborateurs en permanent sans avoir ni les processus, ni les outils ni les compétences pour les effectuer.
- Non-respect du cadre légal
- Gros investissement dans certaines technologies sans adresser les bons risques
- Pas de sensibilisation des collaborateurs
- Les informaticiens n’ont pas été formés à l’analyse basique des incidents de sécurité
- Gestion des mises à jour non-maitrisée
Cette liste non-exhaustive, démontre la nature différente de chaque action et qu’un informaticien aura la peine à traiter ces points dans son coin. C’est pour cette raison, que la responsabilité est à prendre au niveau du management de l’entreprise. Seul une prise de conscience à ce niveau, permettra d’allouer les ressources nécessaires pour réellement améliore la maturité en termes de sécurité de l’information.
Changement grâce au média
Je suis convaincu, que pour changer les avis du management, on peut se fier au modèle de changement du professeur Kotter : sur la base de ses huit étapes pour initier un changement, il dit qu’il faut créer d’abord un sentiment d’urgence. Grâce aux médias qui communiquent désormais plus sur cette thématique et qui présentent des cas réels d’entreprises qui se sont fait attaquer en Suisse, certains responsables commencent enfin à changer.
Cependant, d’autres attendent le jour de l’attaque pour se trouver démuni, sans IT, sans système de sauvegarde disponible et surtout sans accès aux informations de l’entreprise pour assurer la continuité des opérations. Ces mauvais élèves sont souvent si mal préparés qu’il leur faut jusqu’à 1.5 mois pour avoir une IT fonctionnelle, mais souvent sans les données. J’apprends chaque semaine qu’une nouvelle entreprise en suisse romande se retrouve victime d’une telle attaque. À ce stade, même au faisant appel aux meilleures spécialistes, il est trop tard pour agir !
L’action proactive pluridisciplinaire (processus, organisation, humain, technologie) avec un réel soutient du management en lien avec une vision et un cadre clair, reste à ce jour la meilleure défense pour réduire au maximum le risque d’un arrêt complet de votre entreprise.
Agissez aujourd’hui, demain ça sera déjà trop tard ! EG