Le Club des Directeurs de Sécurité des Entreprises, nouveau partenaire de l’EPITA

Le mardi 29 mars 2016, en amont d’une conférence dédiée à la cybersécurité, l’EPITA et le Club des Directeurs de Sécurité des Entreprises (CDSE) ont officialisé la signature d’une convention de partenariat. Grâce à cette dernière, les étudiants de l’EPITA pourront bénéficier du réseau du CDSE, notamment lors d’événements conjoints, de séminaires, de colloques ou d’opérations de recherche spécifiques. Quant aux entreprises membres du CDSE, elles auront désormais un accès privilégié aux prestations proposées par SecureSphere by EPITA, le centre de formation continue en cybersécurité de l’école. Une aide précieuse à l’heure où, comme l’a rappelé la conférence organisée ce jour-là, les entreprises doivent avoir pleinement conscience qu’avoir des salariés bien formés est le meilleur des remparts pour lutter efficacement contre les cybermenaces.

Alain Juillet, président du CDSE et Joël Courtois, directeur général de l’EPITA

La formation des salariés aux questions de cybersécurité est un enjeu capital car les criminels sont eux bel et bien déjà formés à l’usage des nouvelles technologies et à l’exploitation qu’ils peuvent en faire pour arriver à leurs fins. « La cybercriminalité, ce n’est que la nouvelle forme d’escroqueries qui ont toujours existé, rappelle Christian Aghroum, expert en cybersécurité, ancien chef de l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC), ancien administrateur du CDSE et conseiller en stratégie et développement pour SecureSphere. Dans ses mémoires, le célèbre Vidocq évoque par exemple la lettre de Jérusalem qui, de nos jours, pourrait correspondre au fameux spam du prince africain. » Et si, dans l’imaginaire collectif, on pense encore que les cyberattaques sont uniquement l’œuvre d’un « hacker isolé, qui apprend tout seul » comme dans « un récit romantique de science-fiction », désormais les agressions auxquelles doivent faire face les entreprises sont menées par « des réseaux très bien organisés, intéressés uniquement par le profit », capables d’associer ingénierie technique et sociale. Ne pas répondre au courriel du prince africain ne suffit donc plus : il faut désormais une montée en compétences des salariés afin que, formés et conscients de leurs responsabilités juridiques, des risques et des conséquences éventuelles sur leur carrière et sur leur entreprise, ils deviennent un élément clé du dispositif de lutte contre les cybermenaces. « Pour se protéger, les directions ont aussi un rôle à jouer à travers le management et les ressources humaines, poursuit l’expert. La première condition à une bonne défense passe par la sensibilisation et la formation des collaborateurs. Désormais, ce n’est plus que le RSII et le DSI qui doivent s’en occuper. » Pour éviter d’importantes pertes (différentes études estiment à 400 milliards le coût de la cybercriminalité dans le monde chaque année) et des conséquences désastreuses (image dégradée, départs de clients, suicides), les structures n’ont donc pas intérêt à continuer à imaginer la sécurité comme une simple option coûteuse. « En matière de cybersécurité, les dirigeants ont un mal fou à pouvoir mesurer le retour sur investissement. Pourtant si le niveau de sécurité n’est pas suffisant, l’entreprise peut perdre en réputation et voir son activité économique réduite de manière significative », insiste Christian Aghroum.

De gauche à droite : Christian Aghroum et Garance Mathias

Protéger les données pour protéger l’entreprise
Au-delà de la formation technique et du management, les entreprises seraient également bien inspirées d’utiliser certains outils pour se prévaloir de mauvaises surprises, comme la réalisation de chartes spécifiques, l’établissement de contrats de travail précisant la politique interne de l’entreprise en matière de pratique informatique (possibilité pour le salarié d’utiliser tel ou tel logiciel, prêt du matériel informatique, etc.) ou la mise en place de clauses destinées aux consultants et stagiaires qu’il ne faut pas négliger. C’est en tout cas l’avis de Garance Mathias, avocat à la cour spécialiste du droit des affaires et dans l’accompagnement des entreprises notamment sur les enjeux juridiques liés aux technologies avancées et à la sécurité des systèmes d’information, pour qui il convient absolument de protéger les données des entreprises « dans un monde où les menaces sont polymorphes, protéiformes » et ultra connecté, où mettre la main sur un smartphone d’un dirigeant peut s’apparenter à mettre la main sur un trésor. « Pour certains, la donnée représente de l’or, du pétrole, estime-t-elle. À ce sujet, le règlement européen sur la protection des données à caractère personnelle (IP, donnée de géolocalisation, nom, prénom…) est en voie d’être changé, avec une réforme susceptible d’être adoptée au mois de juin 2016. La culture des entreprises va ainsi évoluer, avec l’apport d’un principe de conformité : l’entreprise, par ses salariés, devra mettre la protection des données au cœur de tout projet. »

À propos du CDSE :
Le CDSE est l’association européenne majeure regroupant les directeurs de la sécurité et de la sûreté de plus de 110 entreprises présentes dans plus de 180 pays à travers le monde. Présidé par Alain Juillet, ancien Haut Responsable de l’Intelligence Economique en France auprès du premier ministre, le CDSE est le principal réseau européen de réflexion entre acteurs de la sécurité (direction de la sécurité, institutions nationales et internationales, etc.). Il concourt à la définition des normes de demain, à la diffusion de la connaissance en matière de sécurité et enfin à la constitution d’une communauté partageant des expériences et des valeurs semblables (www.cdse.fr).