Matthijs van der Wel : «Personne ne peut être à 100 % à l’abri d’une cyberattaque»
Share
Le directeur de Forensic Technology Solutions, une équipe opérant au sein de PwC aux Pays-Bas, était récemment à Maurice pour présenter Game of Threats. Il nous parle de ce jeu conçu pour sensibiliser les chefs d’entreprise à la cybersécurité.
BUSINESSMAG. En tant que spécialiste des cellules de crise liées à la cybersécurité, pouvez-vous nous en dire plus sur les menaces que font peser les cyberattaques sur les entreprises ?
Très souvent, la cybersécurité est considérée comme un concept purement technique et non comme un domaine qui concerne les membres du conseil d’administration d’une entreprise. Cependant, si l’on réfléchit à l’impact d’une cyberattaque, l’on se rend compte qu’il y a beaucoup plus en jeu. Il suffit, pour ce faire, de se poser quelques questions : si une entreprise n’a plus accès à ses données, sera-t-elle en mesure de poursuivre ses activités ? Si elle perd des données relatives à ses clients, ces derniers lui feront-ils toujours confiance ? Si le site Web ou les systèmes informatiques d’une compagnie sont en panne, quel impact cela aura-t-il sur ses opérations ? Et si tous les courriels et les fichiers d’une entreprise étaient rendus publics, quelles en seraient les conséquences ?
BUSINESSMAG. Pensez-vous que les décideurs mauriciens sont bien au fait des dangers inhérents à une cyberattaque et suffisamment préparés et équipés dans leur gestion des risques pour y faire face ?
La cybersécurité est complexe et difficile à gérer. Au cas contraire, il n’y aurait plus de cyberattaques réussies. Il est essentiel de comprendre que personne ne peut être à 100 % en sécurité. Si vous savez qu’un cyberattaquant réussira un jour à accéder à vos systèmes et données, vous pouvez vous préparer à cela ; vous assurer de pouvoir détecter l’activité de cet attaquant dès que possible et arrêter l’attaque à temps. Malheureusement, cela semble beaucoup plus facile à dire qu’à faire. Vous devez non seulement avoir mis en place les bonnes personnes et les bons outils, mais aussi avoir passé du temps à tester vos capacités de détection et d’action. Chaque année, les entreprises font un exercice d’évacuation incendie afin de déterminer si les employés sont capables de quitter leurs bureaux assez rapidement en cas de feu. Pourquoi ne pas faire un exercice de «cyberincendie» au moins une fois l’an ?
Il est important de comprendre que les cyberattaquants ont plusieurs façons de pénétrer les systèmes d’une entreprise et de voler les données qu’ils contiennent. Ils peuvent également cibler les employés en les contactant au moyen d’une histoire fausse. Par conséquent, un chef d’entreprise doit consacrer du temps à éduquer son personnel, tout en facilitant la possibilité de signaler des infractions potentielles à la sécurité.
Durant mon séjour à Maurice, j’ai constaté que tout le monde était amical et serviable, voulant aider de toutes les façons possibles. Cela a rendu mon séjour vraiment agréable. Cependant, gardez à l’esprit que les criminels peuvent abuser de cette gentillesse.
BUSINESSMAG. Parlez-nous maintenant de Game of Threats, ce jeu proposé depuis peu à Maurice par PwC.
Game of Threats est un jeu numérique conçu pour déclencher une prise de conscience des enjeux de la cybersécurité. Au cours du jeu, deux équipes s’affrontent : l’une tentera, en tant qu’auteur de la menace, d’attaquer l’autre équipe qui, à son tour, essaiera de se défendre contre la cyberattaque.
L’environnement du jeu crée une expérience réaliste, où les deux parties sont tenues de prendre des décisions rapides, avec des informations minimales à leur portée. Après le jeu, nous évaluons, avec les équipes, les décisions qui ont été prises, afin de mieux comprendre les conséquences de celles-ci.
Game of Threats porte sur le processus critique de prise de décision.Il permet aux joueurs de mieux saisir la complexité de la cybersécurité et des étapes à suivre pour renforcer la sécurité de l’entreprise contre les cyberattaques.
BUSINESSMAG. Comment les entreprises locales ont-elles réagi à cette conscientisation à la cybersécurité par le jeu ?
La réponse a été extraordinaire et enthousiaste. Nous pensons que Game of Threatsest un bon moyen de faire en sorte que les membres du conseil d’administration comprennent l’implication d’une violation éventuelle de la cybersécurité de leur entreprise. Le jeu incite également les dirigeants à poser les bonnes questions à l’équipe de sécurité informatique, afin de rester maîtres de ces risques complexes et dynamiques. Au cours de nos conversations, ceux présents se sont montrés intéressés à ce que des sessions de Game of Threats aient lieu pendant leurs réunions du conseil d’administration ou leurs retraites exécutives, ou encore pendant des réunions de planification stratégique à différents niveaux de gestion.
BUSINESSMAG. Qu’est-ce qui rend la cybercriminalité si attrayante ?
La marge sur la cybercriminalité est supérieure à la marge, par exemple, sur les médicaments ou le faux monnayage. En même temps, le risque de se faire prendre est relativement faible. Si vous n’êtes pas un expert en sécurité cybernétique, vous pouvez aussi embaucher des pirates informatiques qui feront le travail à votre place, «la cybercriminalité en tant que service».
Vu sous cet angle, il existe de nombreuses façons de gagner de l’argent en s’adonnant à la cybercriminalité. Il y a un marché noir où les cybercriminels peuvent vendre des données volées. Les données de carte de crédit et les dossiers de santé sont en grande demande et peuvent être aisément vendus. Les cybercriminels peuvent également retenir vos données en otage pour de l’argent, comme nous l’avons vu avec l’attaque par le ransomware «WannaCry».
BUSINESSMAG. Piratage, phishing, escroquerie, virus, blanchiment d’argent, espionnage industriel, voire cyberterrorisme… L’inventivité des cybercriminels semble illimitée…
Tant qu’il y aura de l’argent à se faire, ou autre chose à gagner, les gens et certaines organisations trouveront toujours un moyen (créatif) d’en faire leur affaire. Et pas seulement sur Internet.
En conséquence, particuliers comme entreprises doivent décider s’ils veulent être une «cible de choix» ou une «cible d’opportunité». Dans ce dernier cas, vous devez vous assurer que vous n’êtes pas la cible la plus simple. Si votre sécurité informatique est meilleure que celle de quelqu’un d’autre, les attaquants concentreront leurs efforts sur ce quelqu’un d’autre. Si vous êtes une cible de choix, les attaquants s’en prendront spécifiquement à vos données. À chacun de s’assurer que ses défenses peuvent correspondre aux moyens des agresseurs.
BUSINESSMAG. Les entreprises privées et le secteur public ont encore du mal, à Maurice, à communiquer sur les cyberattaques. Est-ce une tendance mondiale ou propre à notre pays, de par son conservatisme ?
Aucune entreprise ou organisation n’aime reconnaître publiquement qu’elle n’a pas su se montrer à la hauteur en termes de sécurité. Or, le fait que les cyberattaques sont généralement dissimulées permet aux attaquants de reproduire le même acte criminel contre d’autres. Alors que les criminels sont très actifs en termes de partage d’informations, nous ne le sommes peut-être pas assez.
Aux Pays-Bas, de nombreuses entreprises partagent des informations sur les cyberattaques à travers les Information Sharing and Analysis Centres (ISAC). Résultat : nous avons noté une baisse de la cybercriminalité (NdlR : pour en savoir davantage, consulter le lien : https://www.ncsc.nl/english/Cooperation/isacs.html).
