1. Historique: Il y a toujours eu de l’Espionnage et de la malveillance depuis la nuit des temps. Maintenant c’est surtout digital, donc on parle de cyber-sécurité. Evitons la psychose et restons humble

a. Notre société tolère 5% d’escrocs. La cyber guerre,  aujourd’hui s’approche des 7% de PNB.
b.La prochaine guerre sera Cyber; le Pentagon demande un changement de doctrine qui lui permettrait d’utiliser l’arme atomique contre une cyber attaque.  


2. Responsabilité:
Avec les objets connectés, la malveillance peut pénétrer partout créant de nouvelles vulnérabilités. (IOT=HW+SW+internet = welcome to the club)

a. “Votre cyberespace est un territoire à défendre” (cf manifeste des hackers).
b. Jusqu’à présent, on attaquait votre argent… maintenant on vise la vie de vos collaborateurs, vos clients  (driverless, usine 4.0) … donc travaillez aussi votre IT que vos usines là où potentiellement il peut y avoir mort d’homme.
c. 
Soyez clair sur votre capacité à attirer les talents en fonction des enjeux et à conduire les bons partenariats: “sachez dans quelle catégorie vous boxez; soit tu joues en premier league, soit tu ne joues pas”.
d. Externalisation ou pas : sachez que vous devez garder en interne au minimum une compétence pour auditer.

 

3. Management: Toujours partir de l’analyse de risque et des objectifs de sécurité

a. Comprendre vos vulnérabilités – notamment dans vos usines. Faites de la veille (Israël, Estonie ..).
b. Analyser les attaques … en comprenant que celles-ci ont souvent une complicité interne.
c. Comprendre la motivation des attaques si possible en pro actif (avant d’aller dans un pays par exemple).
d. Dans l’industrie, “cyber d’abord, … puis industry 4.0 et IOT”.
e. Allez vous faire former en cybergym ! (“ce qui ne vous tue pas, vous rend plus fort”) … car cela vous arrivera un jour et vous devrez être mettre du crisis mgt en ce domaine

 

4. Information dans un monde transparent. Vous êtes obligé de faire une classification de vos informations 95/5 ; 95% “info tous publics”, 5% “confidentiel”.

Soyez toujours prêt à communiquer (vers les Autorités et le grand public). Faites des exercices de Cyber Gym … car cela vous arrivera un jour! Rappel: La RGPD vous donne 72h pour communiquer si vous vous êtes fait voler des info personnelles.

 

5. Usages:

a. Penser toujours en terme de meilleur compromis ergonomie/usage vs sécurité … et non pas sécurité d’un côté et usage de l’autre.
b. Avec un usage qui est à plus de 50% mobile, prendre en compte votre « shadow IT » … et ce qui doit revenir…  en étant à l’écoute des métiers.

 

6. Organisation:

a. C’est un processus récurrent  que l’on doit faire vivre de façon continue – Une politique sécurité se gère sur 4 niveaux : Infra y compris normes, process, information et les acteurs.

b. Ce sujet est suffisamment stratégique qui se traite au Comex (fonction du risque de l’entreprise).

 

Pour InnoCherche – Juin 2018