u003cpu003eu003cstrongu003eLe directeur de Forensic Technology Solutions, une équipe opérant au sein de PwC aux Pays-Bas, était récemment à Maurice pour présenter u003c/strongu003eu003cstrongu003eGame of Threats. Il nous parle de ce jeu conçu pour sensibiliser les chefs du0026rsquo;entreprise à la cybersécurité.u003c/strongu003eu003c/pu003eu003cp style=margin-left:14.0pt;\u003eu003cstrongu003eu003cspan style=color:#b22222;\u003eBUSINESSMAGu003c/spanu003e. En tant que spécialiste des cellules de crise liées à la cybersécurité, pouvez-vous nous en dire plus sur les menaces que font peser les cyberattaques sur les entreprises ?u003c/strongu003eu003c/pu003eu003cpu003eTrès souvent, la cybersécurité est considérée comme un concept purement technique et non comme un domaine qui concerne les membres du conseil du0026rsquo;administration du0026rsquo;une entreprise. Cependant, si lu0026rsquo;on réfléchit à lu0026rsquo;impact du0026rsquo;une cyberattaque, lu0026rsquo;on se rend compte quu0026rsquo;il y a beaucoup plus en jeu. Il suffit, pour ce faire, de se poser quelques questionsu0026nbsp;: si une entreprise nu0026rsquo;a plus accès à ses données, sera-t-elle en mesure de poursuivre ses activités ? Si elle perd des données relatives à ses clients, ces derniers lui feront-ils toujours confiance ? Si le site Web ou les systèmes informatiques du0026rsquo;une compagnie sont en panne, quel impact cela aura-t-il sur ses opérations ? Et si tous les courriels et les fichiers du0026rsquo;une entreprise étaient rendus publics, quelles en seraient les conséquences ?u003c/pu003eu003cp style=margin-left:14.0pt;\u003eu003cstrongu003eu003cspan style=color:#b22222;\u003eBUSINESSMAGu003c/spanu003e. Pensez-vous que les décideurs mauriciens sont bien au fait des dangers inhérents à une cyberattaque et suffisamment préparés et équipés dans leur gestion des risques pour y faire face ?u003c/strongu003eu003c/pu003eu003cpu003eLa cybersécurité est complexe et difficile à gérer. Au cas contraire, il nu0026rsquo;y aurait plus de cyberattaques réussies. Il est essentiel de comprendre que personne ne peut être à 100 % en sécurité. Si vous savez quu0026rsquo;un cyberattaquant réussira un jour à accéder à vos systèmes et données, vous pouvez vous préparer à celau0026nbsp;; vous assurer de pouvoir détecter lu0026rsquo;activité de cet attaquant dès que possible et arrêter lu0026rsquo;attaque à temps. Malheureusement, cela semble beaucoup plus facile à dire quu0026rsquo;à faire. Vous devez non seulement avoir mis en place les bonnes personnes et les bons outils, mais aussi avoir passé du temps à tester vos capacités de détection et du0026rsquo;action. Chaque année, les entreprises font un exercice du0026rsquo;évacuation incendie afin de déterminer si les employés sont capables de quitter leurs bureaux assez rapidement en cas de feu. Pourquoi ne pas faire un exercice de u0026laquo;cyberincendieu0026raquo; au moins une fois lu0026rsquo;an ?u003c/pu003eu003cpu003eIl est important de comprendre que les cyberattaquants ont plusieurs façons de pénétrer les systèmes du0026rsquo;une entreprise et de voler les données quu0026rsquo;ils contiennent. Ils peuvent également cibler les employés en les contactant au moyen du0026rsquo;une histoire fausse. Par conséquent, un chef du0026rsquo;entreprise doit consacrer du temps à éduquer son personnel, tout en facilitant la possibilité de signaler des infractions potentielles à la sécurité.u003c/pu003eu003cpu003eDurant mon séjour à Maurice, ju0026rsquo;ai constaté que tout le monde était amical et serviable, voulant aider de toutes les façons possibles. Cela a rendu mon séjour vraiment agréable. Cependant, gardez à lu0026rsquo;esprit que les criminels peuvent abuser de cette gentillesse.u003c/pu003eu003cp style=margin-left:14.0pt;\u003eu003cstrongu003eu003cspan style=color:#b22222;\u003eBUSINESSMAGu003c/spanu003e. u003c/strongu003eu003cstrongu003eParlez-nous maintenant de Game of Threats, ce jeu proposé depuis peu à Maurice par PwC.u003c/strongu003eu003c/pu003eu003cpu003eGame of Threats est un jeu numérique conçu pour déclencher une prise de conscience des enjeux de la cybersécurité. Au cours du jeu, deux équipes su0026rsquo;affrontentu0026nbsp;: lu0026rsquo;une tentera, en tant quu0026rsquo;auteur de la menace, du0026rsquo;attaquer lu0026rsquo;autre équipe qui, à son tour, essaiera de se défendre contre la cyberattaque.u003c/pu003eu003cpu003eLu0026rsquo;environnement du jeu crée une expérience réaliste, où les deux parties sont tenues de prendre des décisions rapides, avec des informations minimales à leur portée. Après le jeu, nous évaluons, avec les équipes, les décisions qui ont été prises, afin de mieux comprendre les conséquences de celles-ci.u003c/pu003eu003cpu003eGame of Threats porte sur le processus critique de prise de décision.Il permet aux joueurs de mieux saisir la complexité de la cybersécurité et des étapes à suivre pour renforcer la sécurité de lu0026rsquo;entreprise contre les cyberattaques.u003c/pu003eu003cp style=margin-left:14.0pt;\u003eu003cstrongu003eu003cspan style=color:#b22222;\u003eBUSINESSMAGu003c/spanu003e. Comment les entreprises locales ont-elles réagi à cette conscientisation à la cybersécurité par le jeuu0026nbsp;?u003c/strongu003eu003c/pu003eu003cpu003eLa réponse a été extraordinaire et enthousiaste. Nous pensons que Game of Threatsest un bon moyen de faire en sorte que les membres du conseil du0026rsquo;administration comprennent lu0026rsquo;implication du0026rsquo;une violation éventuelle de la cybersécurité de leur entreprise. Le jeu incite également les dirigeants à poser les bonnes questions à lu0026rsquo;équipe de sécurité informatique, afin de rester maîtres de ces risques complexes et dynamiques. Au cours de nos conversations, ceux présents se sont montrés intéressés à ce que des sessions de Game of Threats aient lieu pendant leurs réunions du conseil du0026rsquo;administration ou leurs retraites exécutives, ou encore pendant des réunions de planification stratégique à différents niveaux de gestion.u003c/pu003eu003cp style=margin-left:14.0pt;\u003eu003cstrongu003eu003cspan style=color:#b22222;\u003eBUSINESSMAGu003c/spanu003e. Quu0026rsquo;est-ce qui rend la cybercriminalité si attrayanteu0026nbsp;?u003c/strongu003eu003c/pu003eu003cpu003eLa marge sur la cybercriminalité est supérieure à la marge, par exemple, sur les médicaments ou le faux monnayage. En même temps, le risque de se faire prendre est relativement faible. Si vous nu0026rsquo;êtes pas un expert en sécurité cybernétique, vous pouvez aussi embaucher des pirates informatiques qui feront le travail à votre place, u0026laquo;u003cemu003ela cybercriminalité en tant que serviceu003c/emu003eu0026raquo;.u003c/pu003eu003cpu003eVu sous cet angle, il existe de nombreuses façons de gagner de lu0026rsquo;argent en su0026rsquo;adonnant à la cybercriminalité. Il y a un marché noir où les cybercriminels peuvent vendre des données volées. Les données de carte de crédit et les dossiers de santé sont en grande demande et peuvent être aisément vendus. Les cybercriminels peuvent également retenir vos données en otage pour de lu0026rsquo;argent, comme nous lu0026rsquo;avons vu avec lu0026rsquo;attaque par le u003cemu003eransomwareu003c/emu003e u0026laquo;WannaCryu0026raquo;.u003c/pu003eu003cp style=margin-left:14.0pt;\u003eu003cstrongu003eu003cspan style=color:#b22222;\u003eBUSINESSMAGu003c/spanu003e. Piratage, phishing, escroquerie, virus, blanchiment du0026rsquo;argent, espionnage industriel, voire cyberterrorismeu0026hellip; Lu0026rsquo;inventivité des cybercriminels semble illimitéeu0026hellip;u003c/strongu003eu003c/pu003eu003cpu003eTant quu0026rsquo;il y aura de lu0026rsquo;argent à se faire, ou autre chose à gagner, les gens et certaines organisations trouveront toujours un moyen (créatif) du0026rsquo;en faire leur affaire. Et pas seulement sur Internet.u003c/pu003eu003cpu003eEn conséquence, particuliers comme entreprises doivent décider su0026rsquo;ils veulent être une u0026laquo;cible de choixu0026raquo; ou une u0026laquo;cible du0026rsquo;opportunitéu0026raquo;. Dans ce dernier cas, vous devez vous assurer que vous nu0026rsquo;êtes pas la cible la plus simple. Si votre sécurité informatique est meilleure que celle de quelquu0026rsquo;un du0026rsquo;autre, les attaquants concentreront leurs efforts sur ce quelquu0026rsquo;un du0026rsquo;autre. Si vous êtes une cible de choix, les attaquants su0026rsquo;en prendront spécifiquement à vos données. À chacun de su0026rsquo;assurer que ses défenses peuvent correspondre aux moyens des agresseurs.u003c/pu003eu003cp style=margin-left:14.0pt;\u003eu003cstrongu003eu003cspan style=color:#b22222;\u003eBUSINESSMAGu003c/spanu003e. Les entreprises privées et le secteur public ont encore du mal, à Maurice, à communiquer sur les cyberattaques. Est-ce une tendance mondiale ou propre à notre pays, de par son conservatisme ?u003c/strongu003eu003c/pu003eu003cpu003eAucune entreprise ou organisation nu0026rsquo;aime reconnaître publiquement quu0026rsquo;elle nu0026rsquo;a pas su se montrer à la hauteur en termes de sécurité. Or, le fait que les cyberattaques sont généralement dissimulées permet aux attaquants de reproduire le même acte criminel contre du0026rsquo;autres. Alors que les criminels sont très actifs en termes de partage du0026rsquo;informations, nous ne le sommes peut-être pas assez.u003c/pu003eu003cpu003eAux Pays-Bas, de nombreuses entreprises partagent des informations sur les cyberattaques à travers les Information Sharing and Analysis Centres (ISAC). Résultatu0026nbsp;: nous avons noté une baisse de la cybercriminalité (NdlRu0026nbsp;: pour en savoir davantage, consulter le lien : u003cuu003ehttps://www.ncsc.nl/english/Cooperation/isacs.htmlu003c/uu003e).u003c/pu003e
Matthijs van der Wel : «Personne ne peut être à 100 % à l’abri d’une cyberattaque»
