Transversal
2. Des normes pour encadrer la cybersécurité
Permettant de guider les entreprises dans leurs démarches autour de la sécurité des systèmes d'information, des normes ont vu le jour depuis plusieurs années. Parmi celles-ci, l'ISO 27001, consacrée à la sécurisation des données.
Encadrant les efforts des entreprises autour de la cybersécurité, les normes servent autant de cadres d'amélioration que de preuves de conformité face à des exigences de plus en plus prégnantes. De nombreux standards ont pu être déployés depuis plusieurs décennies dans ce domaine. L'industrie s'appuie par exemple sur des normes internationales telles que l'IEC 62443, dont le but est de prévenir les risques d'intrusions dans le cadre de solutions automatisées ou de systèmes de contrôle. Multisectorielle, elle vise l'ensemble des acteurs, des constructeurs aux utilisateurs. L'ensemble des normes ISO 27000, dédiées au management de la sécurité de l'information et définies par l'organisation internationale de normalisation (ISO), sont également très suivies. Et parmi celles-ci, on trouve l'ISO 27001. Cette norme internationale, composée de 114 mesures de sécurité, décrit un système de management et une démarche d'organisation d'entreprise assurant la sécurité des informations numériques. « Elle se base sur un système d'analyse de risques. Le principe, c'est qu'une entreprise, pour assurer la sécurité de ses informations, doit d'abord identifier les risques qui pèsent sur son organisation puis mettre en place des actions en fonction de ceux-ci. Il ne s'agit pas de tout verrouiller, mais de conserver l'intégrité des données, leur disponibilité et leur confidentialité », détaille Brice Gilbert, ingénieur confiance numérique de l'Afnor.
Un outil de certification et d'amélioration
L'Afnor fait partie des organismes accrédités à délivrer la certification ISO 27001 aux entreprises. Regroupant 900 salariés en France, le groupe a pour mission de répondre aux besoins des entreprises dans l'établissement de normes volontaires encadrant leurs activités. « Il y a actuellement 342 entreprises certifiées ISO 27001 en France, révèle Brice Gilbert. La plupart sont des entreprises du secteur numérique ou des cabinets de conseils ». Si le processus de certification n'est pas obligatoire, les éléments de la norme peuvent cependant servir de guide pour la mise en place de bonnes pratiques. « Beaucoup de grands comptes connaissent l'ISO 27001 et utilisent ses recommandations pour la sécurité de l'information. Mais ils n'éprouvent pas forcément le besoin de valoriser le travail mené par une certification », estime Brice Gilbert. Reste que le nombre de certifiés est en progression en France, malgré un léger retard par rapport à d'autres pays tels que le Royaume-Uni ou le Japon. « D'ici trois à quatre ans, nous estimons que ce nombre va doubler dans l'Hexagone ».
Parmi les entreprises françaises certifiées, on retrouve la PME marseillaise MGI. Avec sa solution CI5, cet éditeur propose une solution de digitalisation interentreprises pour la chaîne logistique portuaire. « Nous mettons en relation différents acteurs et leur offrons des leviers de productivité pour être plus compétitifs », explique Alain Perez, directeur des systèmes d'information de MGI. Déjà déployée dans la zone portuaire marseillaise, mais aussi à Dunkerque ou Fort de France, cette solution est le réceptacle d'un nombre important de données. « Notre plateforme est très intégrée dans les systèmes de nos clients logisticiens et nous avons un rôle de tiers de confiance à jouer auprès de ces entreprises. Nous devons assurer la confidentialité de leurs données et ne pas venir fragiliser leurs organisations », détaille Alain Perez. C'est dans ce sens que MGI décide de se lancer dans un processus de certification ISO 27001. « Celle-ci repose sur la mise en place d'un système de management de la sécurité de l'information (SMSI). Cela a profondément changé la culture interne de l'entreprise par rapport à la cybersécurité. Nos équipes ont adopté de bons réflexes et sont devenus acteurs de la sécurité de l'information », souligne Alain Perez. Pour assurer la mise en place de ces bonnes pratiques, MGI a décidé de recruter quelqu'un en interne, afin de mener les chantiers d'identification des risques potentiels et guider la formation des collaborateurs. Bénéficiant désormais de KPI pour suivre les attaques et anomalies de son système d'information, MGI a également mis en place une politique d'audit auprès de ses fournisseurs. Autant d'efforts qui lui ont permis de décrocher la certification en mai 2017, renouvelée en 2018. « Avec cette certification, nous souhaitions renforcer la confiance de nos utilisateurs, mais également convaincre des prospects de notre haut niveau de sécurisation », précise Alain Perez. Un point également mis en avant par l'Afnor : « La certification est considérée comme un enjeu business par les entreprises qui nous contactent », confirme Brice Gilbert
Focus
Seul un tiers des entreprises ont réalisé une évaluation de leurs vulnérabilités
Dévoilé en janvier 2019, le sondage OpinionWay pour QBE consacré à la gestion des risques pour les PME et ETI en 2018 offre des éclaircissements intéressants sur la compréhension des risques cyber chez les entreprises de moins de 250 salariés en France. L'étude rapporte que deux tiers des entreprises ont été sensibilisées sur les cyber-risques et la vulnérabilité de leurs réseaux grâce à la mise en place du RGPD. Face à cette prise de conscience, 62 % des sociétés déclarent également avoir mis en oeuvre des moyens de prévention et de protection contre les risques cyber, principalement grâce à des actions de sensibilisation ou de formation des collaborateurs (72 %) et en investissant dans la sécurité du système d'information (69 %). Mais le sondage pointe également un grand axe d'amélioration pour les entreprises : l'évaluation de leur vulnérabilité aux cyber-risques. En effet, seulement 39 % des entreprises (51 % dans le domaine de l'industrie) ont jusqu'ici fait cette démarche, la majorité avec des ressources internes (70 %), mais aussi avec des consultants (53 %) et des tests d'intrusion (50 %). « Ce chiffre s'explique principalement par un manque de savoir-faire de la part des entreprises par rapport à ces questions ainsi qu'une question de moyens financiers », précise Renaud de Pressigny, directeur général de QBE France.
