- Depuis le Covid, les services d’audit interne multiplient leurs interventions et déplorent que les entreprises sous-traitantes ne respectent pas la réglementation et ne disposent pas de mesures de sécurité susceptibles de protéger leurs clients.
- La concurrence entre entreprises sous-traitantes n’a jamais été aussi tendue, ce qui autorise les acheteurs à augmenter leur niveau d’exigence en imposant des demandes qui paraissaient déraisonnables il y a encore quelques mois.
- Bon nombre de sinistres cyber analysés par les compagnies d’assurances ont fait apparaître des lacunes en matière de sécurité qu’elles refusent désormais de couvrir.
Depuis 2018, la cybermenace croît de manière exponentielle, avec un niveau maximum atteint au cours d’une année 2020 marquée par le Covid-19. « Le nombre de victimes a ainsi été multiplié par quatre en un an », selon le rapport franco-allemand « Common Situational Picture », édité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et son homologue, le Bundesamt für Sicherheit in der Informationstechnik (BSI).
En parallèle, le Groupement d’intérêt public et d’actions contre la cybermalveillance (GIP ACYMA), qui a en charge le portail Cybermalveillance.gouv.fr, relève aussi une baisse conséquente des appels à l’aide de particuliers : 491 en 2020 contre 2 972 l’année précédente. Une évolution symptomatique de la réorientation des cyberdélinquants vers les cibles les plus lucratives potentielles.
La facilité d’utilisation des ransomwares et d’autres méthodes d’extorsion ont permis à ces attaques d’être menées à grande échelle et sans coûts importants. Alors que la cyberéconomie s’épanouit, les occasions de criminalité augmentent et les chances de se faire prendre s’amenuisent. « La cybercriminalité offre une opportunité à haut rendement et à faible risque. » (Aatish Pattni, directeur sécurité de Check Point, Link11).
Les chiffres du GIP ACYMA sont encore plus inquiétants. Jérôme Notin, directeur général du GIP, fait ainsi état de 159 collectivités touchées en 2020 contre 103 en 2019, et de 837 entreprises, contre 667.
La densité de l’actualité sur ce sujet au cours du mois estival d’août 2021 confirme également la croissance continue du phénomène et la diversité des cibles :
- Les serveurs Microsoft Exchange de six ministères des Affaires étrangères et de 8 sociétés spécialisées dans l’énergie ont été infiltrés par des cybercriminels. Des données hautement sensibles auraient été volées.
- Un hacker diffuse gratuitement pour la promotion de son black market un fichier contenant près d’un million de cartes bancaires. Au total, 40 000 Français seraient concernés par cette fuite
- Dans la nuit du samedi au dimanche 1er août 2021, une cyberattaque, à priori un rançongiciel, a frappé les services informatiques du Latium, une région au centre de l’Italie où se situe la ville de Rome.
Les entreprises de moins de 50 salariés sont également directement impactées : 41 % des entreprises interrogées de 0 à 9 salariés et 44% des entreprises de 9 à 49 salariés ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques (données 2019).
La position des assurances contre la cybercriminalité n’est pas non plus étrangère au durcissement des entreprises face au péril sécuritaire. Les tarifs augmentent considérablement à mesure que les attaques par ransomware explosent.
Pour certains experts, ce sont les assureurs eux-mêmes qui sont responsables de cette montée du risque et de la hausse conséquente des tarifs. Guillaume Poupard, Directeur de l’ANSSI, avait souligné lors d’une audition au Sénat le « jeu trouble » des assureurs qui, en facilitant le paiement des rançons, faisaient donc des entreprises françaises des cibles de choix pour les cybercriminels.
Face à cette explosion de la cybercriminalité, les entreprises du CAC40 et du SBF120 deviennent de plus en plus fébriles, les relations avec les fournisseurs et les conditions d’octroi de nouveaux marchés évoluent. La conformité RGPD et la certification ISO27001/2 ou encore le « zero trust » leur apparaissent soudain comme des garanties crédibles. Les questionnaires fournisseurs RGPD et sécurité s’étoffent, deviennent plus fréquents et s’accompagnent le plus souvent d’une soutenance orale. Certaines entreprises vont jusqu’à demander la fourniture de documents et procédures internes RGPD et sécurité (tel que la politique de sécurité des systèmes d’informations), phénomène qui tend à se généraliser. Un fournisseur n’étant pas en mesure de démontrer sa conformité RGPD ou prouver son niveau de sécurisation a toutes les chances de se voir fermer la porte au nez. Après plusieurs années d’atermoiement et de manière un peu inattendue, le RGPD agrémenté de mesures de cybersécurité vient de gagner ses lettres de noblesse.
Alors que bon nombre de PME et d’ETI témoignent de leurs difficultés à avancer sur leur mise en conformité RGPD, ces dernières se voient soudainement dans l’obligation d’intégrer ces nouvelles contraintes à marche forcée pour ne pas pénaliser leur activité commerciale.
L’analyse qui est faite de certains projets RGPD/Sécurité qui réussissent mieux que d’autres permet de tempérer les réticences à prendre le sujet à bras le corps.
- Un niveau de détail raisonnable : le RGPD comprend 99 articles de loi pas toujours faciles à transposer de manière opérationnelle. A vouloir établir une todo list trop détaillée, une mise en conformité peut très vite entrainer l’enlisement. Les équipes ont le sentiment d’être débordées par l’ampleur de la tâche alors qu’un certain recul permet de globaliser et de rendre visible la progression. Des objectifs courts et l’utilisateur au cœur du projet, la mise en conformité RGPD/Sécurité se révèle un bon champ d’application des méthodes agiles.
- Une mise à disposition des compétences nécessaires à la mise en œuvre du projet : expert RGPD, RSSI, avocat IT pour des interventions ciblées, chef de projet, … est essentielle pour garder maintenir le rythme de mise en œuvre.
- La prise en compte de la psychologie, facteur de succès : la mise en conformité RGPD/Sécurité est un projet de transformation avant tout. Souvent, on ne prête pas attention au facteur humain ou, plutôt, on considère que l’être humain concerné par ce mouvement va se comporter rationnellement et y adhérer naturellement. Dès lors, la résistance au changement peut aboutir au statu quo.
- L’intégration de l’expérience utilisateur. Aux métriques financières et temporelles qui vont bien à un projet habituel, dans le cas d’une transformation RGPD/Sécurité, comme dans tout projet de transformation digitale, il faut imaginer une métrique d’expérience client/utilisateur.
Il est ensuite important de respecter certaines modalités de mise en œuvre pour échapper à la fatalité de l’«usine à gaz».
Dans un premier temps, il est nécessaire d’aborder le sujet dans sa globalité. Si le RGPD s’inspire en grande partie de la norme ISO 27001/2 pour son volet technique, la complexité de l’application de cette norme impose un réel pragmatisme pour aboutir. La certification ISO 27001/2 sera réservée pour les organisations techniques expertes. Pour les autres, un certain recul sera préférable pour identifier les objectifs prioritaires, engager la conformité RGPD puis compléter par quelques chapitres de la norme ISO 27001/2 susceptibles de répondre aux objectifs prioritaires. Que ce soit en phase de démarrage ou de reprise d’une démarche laissée en suspens, un audit global est un atout pour clarifier la situation et partager avec les collaborateurs qui sont impliqués. Il évalue le volet RGPD et la sécurité sans oublier la résilience qui consiste à savoir comment se relever en cas d’attaque cyber réussie malgré les dispositions prises.
La seconde étape consiste à concentrer toutes les énergies sur un espace-temps court (idéalement moins de 8 semaines) avec les moyens existants pour aboutir à un premier niveau RGPD/sécurité crédible pour une organisation partenaire/cliente. On n’oublie pas de privilégier les Quickwins pour motiver au plus vite les équipes. Cette étape doit aboutir à la production d’un dossier de conformité cohérent rassemblant 80% des documents imposés par le RGPD (registre du traitement, Data Processing Agreement, PIA, …) et des documents principaux nécessaires pour la sécurisation du Système d’Information (cartographie technique et applicative, analyse de risque, analyse des SPOF, PSSI, Charte informatique…).
La dernière phase est confiée à un référent interne (ou externe) en mesure d’assumer les responsabilités de préférence cumulées de DPO (Data Protection Officer) et de CISO (Chief Information Security Officer) pour piloter la démarche dans le temps et démarrer la phase dite « by design » sous-entendant que tout projet de l’organisation soit soumis en amont à une validation RGPD/sécurité avant implémentation.
En conclusion, la prise de conscience que la mise en conformité RGPD/Cybersécurité est devenue incontournable pour conquérir de nouveaux marchés est récente. Ce phénomène ne doit toutefois pas être perçu comme une fatalité mais bien au contraire comme une opportunité de croissance. Aborder dans la globalité RGPD et cybersécurité, se donner peu de semaines pour aboutir à un premier niveau susceptible d’enrichir l’argumentaire commercial et appréhender la démarche comme un projet de transformation digitale sont autant de précautions qui doivent permettre aux organisations d’aboutir à des résultats encourageants susceptible de faire évoluer positivement le chiffre d’Affaires.