Full
Thumbnail

Alain Le Pomellec

Manager
Manager en stratégie opérationnelle, Alain est intervenu chez des acteurs de la Banque Privée, des financements spécialisés, mais aussi du domaine de l’Assurance et de la Protection Sociale

Avec la mise en place en mai 2018 du nouveau règlement sur la protection des données personnelles (RGPD) dans l’ensemble de l’Union Européenne, les sanctions atteignent d’ores et déjà des niveaux significatifs. C’est le cas de Google qui a écopé en Janvier 2019 d’une amende record de 50 millions d’euros[1] infligée par la CNIL pour un manque de transparence vis-à-vis de ses internautes sur l’utilisation de leurs données personnelles.

La responsabilité légale des entreprises envers la sécurité des données personnelles de leurs clients s’ajoute au contexte actuel où lagestion du risque numérique est en passe de devenir un des enjeux stratégiques principaux des entreprises ayant digitalisé tout ou partie de leur activité :

  • Les cyberattaques contre les entreprises sont en plein boom : 79% des entreprises Françaises déclarent avoir été victimes d’une cyberattaque en 2017 avec une augmentation de 45% par rapport à 2016[2]
  • Le coût moyen des cyberattaques dans le monde est en hausse de 22,7% en 2017 et atteint environ 8 millions de dollars en France par entreprise [3]
  • La réputation des entreprises est de plus en plus mise en danger par la médiatisation croissante des attaques dont les victimes sont rapidement pointées du doigt (ex : Altran, Airbus, Saint-Gobain, 


Afin de prioriser la sécurité dans le cadre d’une démarche agile, Stanwell observe chez ses clients la mise en place d’une structure hiérarchique transverse dédiée à la sécurité. L’objectif est de nommer, à chaque couche décisionnelle de l’organisation, un référent sécurité qui mène des activités de contrôle et de coaching sur un périmètre donné.

    Face à ce constat, les entreprises doivent investir une part croissante de leurs ressources dans la gestion du risque numérique lié à leur activité. Les origines principales de ce risque sont les individus, les processus et les systèmes d’information (cf. schéma ci-contre).

    Notre analyse portera d’abord sur les leviers pour lutter contre le risque numérique lié aux individus. Il s’agit en effet de la principale origine des cyberattaques observées à ce jour.

    Nous proposerons ensuite des pistes de réflexion autour des leviers pour lutter contre le risque numérique lié aux processus. Nous nous concentrerons plus particulièrement sur les liens entre sécurité et méthode Agile, cette dernière étant utilisée ou en cours de déploiement dans un grand nombre d’entreprises.

    A noter : il existe également des solutions pour se protéger contre le risque lié aux systèmes d’information : audit des infrastructures, mise en place de Security Operation Center, …


    1. Le comportement humain à l’origine des failles de sécurité des entreprises

        Le rapport 2015 d’IBM affirme que « 95% des cyber-attaques réussies sont le résultat d’une erreur humaine »[4].

        La notion d’erreur humaine relève ici du comportement des employés de l’entreprise. Elle est provoquée par la malveillance d’un tiers et est permise par un manque de connaissance des règles élémentaires de sécurité par l’employé.

        Dans la majorité des cas, les hackers emploient deux types de stratégies :

        • La manipulation des individus, principalement des employés, qui permet aux hackers de pénétrer l’infrastructure IT d’une organisation
        • L’exploitation de failles techniques qui permet une augmentation de privilèges au sein du système une fois la première faille exploitée

        Les statistiques parlent d’elles-mêmes quant aux principales sources des attaques en 2016 [5] :

        • Hacking/Skimming/Phishing (55,5%) : Transmission d’information sensible sur des « faux sites », manque de complexité des mots de passe ou manipulation de l’individu afin de révéler des données sécurisées…
        • Erreur d’inadvertance (9,2%) : négligence de la part du détenteur d’information (perte de matériel, envoi à la mauvaise personne de documents confidentiels…)
        • Attaques par email ou sur internet (8,7%) : téléchargement involontaire d’un Malware…

        Le constat est clair : ce sont les employés des organisations qui sont, malgré eux, à l’origine du succès de la grande majorité des cyber-attaques, ne permettant à aucune organisation de se sentir à l’abri.

        Le défi auxquelles les entreprises doivent donc faire face, au-delà de la robustesse de leurs systèmes IT, c’est l’incitation au changement du comportement digital de leurs employés.

        Les entreprises ont à leur disposition des leviers classiques pour cette conduite du changement difficile auprès d’employés souvent mal informés, notamment côté métier, tels que des formations et des actions de sensibilisation. A titre d’exemple, Bercy s’est prêté au jeu en Octobre 2017 en envoyant des emails de Phishing à ses 145.000 collaborateurs[6]. Plus de 30.000 (20%) ont cliqué sur le lien qui aurait pu, dans un contexte réel, mener à une intrusion du SI du ministère des Finances.

        Il ne suffit pourtant que d’une seule erreur humaine pour mettre en danger l’ensemble de l’infrastructure digitale d’une organisation. A ce titre, la conduite du changement ne peut se résumer par des actions ponctuelles de sensibilisation mais doit embarquer l’ensemble des collaborateurs grâce à une organisation qui permet de diffuser des procédures et des règles de fonctionnement liées à la culture de la sécurité de l’information en entreprise.

        Cette organisation peut s’articuler autour de deux leviers d’action :

        • La mise en place d’une veille active autour des sujets sécurité
        • La formation continue des employés via :
          • Des événements dédiés type « Serious Game » à l’instar du programme « Keep an eye » initié par le Cigref[7]
          • Des solutions de formation innovantes via la « Gamification » comme l’outil de 2Spark permettent de faire de la prévention une activité ludique pour l’employé tout en permettant à l’employeur de piloter le niveau de connaissance de ses employés et ainsi prendre des mesures à la fois correctives et préventives
          • Des solutions embarquées au sein même des outils à l’image de LemonLearning qui développe une solution de guide interactif intégré aux logiciels utilisés par l’employé

        Si l’éducation des employés est un enjeu au moins aussi important que la robustesse des infrastructures IT, ce travail de conduite du changement doit également être l’opportunité de transformer la manière dont les équipes mènent la phase de conception des outils. La sécurité comme hygiène de vie pour le métier s’applique aux équipes techniques grâce la notion de « Security by design » - ou comment intégrer le principe de sécurité dès la phase de conception.


        2. L’«agi-sécurité»

          La transformation agile des entreprises, via un time-to-market de plus en plus serré et une organisation du travail itérative, ne semble pas naturellement compatible avec la notion de sécurité. Pour rappel, les « sprints » de développements agiles se concentrent sur l’harmonisation entre les besoins du métier et de l’informatique, sur l’expérience utilisateur et sur le fit-to-market. Force est de constater que peu de place est aujourd’hui allouée à la composante sécurité.

          Or, quand bien même cette organisation du travail permet une commercialisation rapide du produit, de nombreux efforts et ressources seront à déployer dans le futur pour corriger les failles de sécurité héritées de la phase de conception agile.

          Il est pourtant possible d’injecter la composante sécurité dès la phase de conception dans les cycles de développement agile de l’entreprise afin de développer des solutions « secure by design ». On parle alors d’agi-sécurité.


          Afin de prioriser la sécurité dans le cadre d’une démarche agile, Stanwell observe chez ses clients la mise en place d’une structure hiérarchique transverse dédiée à la sécurité. L’objectif est de nommer, à chaque couche décisionnelle de l’organisation, un référent sécurité qui mène des activités de contrôle et de coaching sur un périmètre donné.


          Pour plus d’informations à ce sujet, n’hésitez pas à consulter le guide de l’ANSSI[8].

          Les rôles et responsabilités de chacun des représentants peuvent varier d’une organisation à une autre. Ci-après vous trouverez la définition des rôles proposée par Stanwell à un grand groupe Français de l’assurance qui a mis en place une telle structure en 2016 afin d’aligner ses objectifs forts en sécurité avec une généralisation de la méthode agile dans l’entreprise.

          Certes, intégrer la sécurité dans une démarche agile implique un coût financier et peut ralentir le développement et nuire à l’agilité des itérations. Cependant, il existe des solutions innovantes permettant de veiller à la composante sécurité des applications en parallèle de leur développement. A titre d’exemple, la plateforme de « Bug Bounty » Yogosha permet de mettre en relation les entreprises avec des « chercheurs en cybersécurité » chargés de trouver les failles de sécurité des applications. Ils sont rémunérés en fonction des failles qu’ils détectent et reportent. Cette configuration permet de s’assurer de l’étanchéité des solutions développées sans perturber le déroulement de la démarche agile.

          La formation et sensibilisation continue des employés ainsi que la nomination de référents sécurité dans les groupes de travail agiles sont des mesures essentielles pour faire face à des cyberattaques de plus en plus fréquentes et couteuses. Au-delà des problématiques de coûts et de réputation, l’avènement des objets connectés (50 Milliards dans le monde en 2020) et des attaques « dénis de service » pourraient, dans un futur proche, faire des problématiques de sécurité une problématique de sécurité physique des individus.


          N’hésitez pas à consulter également notre article sur la Cyber-assurance, un autre levier de couverture contre le risque numérique.


          [1] https://www.google.fr/amp/s/amp.rfi.fr/fr/france/20190122-google-amende-non-respect-rgpd-cnil

          [2] IPSOS / PwC « Les entreprises face aux enjeux de la cybersécurité » Octobre 2018, Analyses Stanwell

          [3] https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf

          [2] http://www.eulerhermes.fr/mediacenter/actualites/Lists/NewsDocuments/etude-fraude-entreprise-2017.pdf

          [3] https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf

          [4] https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=WGL03073USEN

          [5] http://www.idtheftcenter.org/2016databreaches.html

          [6] https://lexpansion.lexpress.fr/high-tech/bercy-a-envoye-de-faux-courriels-de-phishing-pour-tester-ses-agents_1948968.html

          [7] http://www.cigref.fr/fil?id=39

          [8] https://www.ssi.gouv.fr/guide/integrer-la-securite-numerique-dans-une-demarche-agile/


          A propos de Stanwell Insight

          Créé en 2006, Stanwell Consulting est un cabinet de conseil en stratégie et transformation, historiquement spécialiste de la Banque et de l'Assurance et depuis 2013 du secteur Retail & Luxe.

          Son positionnement original associe vision stratégique des modèles métiers de ses clients et capacité à imaginer, concrétiser, et accompagner leurs plans de transformation, qu'ils s'attachent à l'efficacité opérationnelle, l'innovation, l'entreprise digitale ou la croissance de la rentabilité. Assurance, Banque, Retail & Luxe sont les « cœurs de cible » des interventions de Stanwell.

          Fort de cette expertise et afin d'accompagner toujours mieux ses clients, Stanwell Consulting est à l'écoute des besoins de leurs propres clients via son équipe Stanwell Insight. Retrouvez sur le site https://insight.stanwell.fr les points de vue des experts Stanwell mais également les études quantitatives et qualitatives conduites par Stanwell Insight.

          Stanwell Insight a également créé un partenariat avec Wizville pour construire une offre de service packagée permettant la mise en place d'outil de mesure de la satisfaction client à chaud ou la pérennisation d'observatoires.