La cybersécurité, un nouveau défi pour les entreprises
En pleine crise sanitaire, la cybersécurité est l’un des nouveaux défis des entreprises. Guillaume Gamelin, expert en sécurité, nous donne son point de vue.
La crise sanitaire ne signifie pas une trêve des cyberattaques, loin de là. Alors que la pratique du télétravail s’est généralisée, la cybersécurité est devenue l’un des nouveaux défis des entreprises, tant le volume d’attaques s’est multiplié ces derniers mois.1 Vols de données, rançonnages et autres tentatives d'hameçonnage : les cyberattaquants profitent de la désorganisation des secteurs et des failles créées par l’ouverture des systèmes d’information pour s’emparer des données personnelles.
À l’heure où la digitalisation des entreprises se fait au pas de course et que l’Europe a mis un terme au Privacy Shield , nous revenons avec Guillaume Gamelin, Vice-Président de F-Secure, sur l’impact de l’annulation de l’accord de transfert des données entre l’Union européenne et les États-Unis, ainsi que sur les nouveaux défis créés par la crise sanitaire en matière de cybersécurité des entreprises.
Avec l'annulation du Privacy Shield par la Cour européenne de justice, pourriez-vous nous expliquer comment cette décision impacte les entreprises françaises en matière de cybersécurité ?
Guillaume Gamelin : Le Privacy Shield était un accord conclu en juillet 2016 entre les États-Unis et l'Union européenne, à la suite de l’annulation du Safe Harbor. Son but était de mieux protéger les données personnelles, en encadrant le transfert de données entre l'Europe et les États-Unis. Il offrait également aux entreprises européennes, mais aussi à ses citoyens, des moyens de recours contre les entreprises américaines en cas d’utilisation frauduleuse des données. Le Privacy Shield n’était pas un traité, mais plutôt une série d'engagements, notamment de la part du gouvernement américain.
Pourquoi le Privacy Shield a-t-il été annulé ? Parce qu’il n’avait plus aucun sens. Avec le Patriot Act et sous couvert de sécurité nationale, le gouvernement américain pouvait accéder à n'importe quel type de données, indépendamment du fait qu'il y ait des accords d’échanges.
S'abonner à la newsletter
Recevez nos derniers articles, interviews et mises à jour produit.
Quel est le rôle des clauses contractuelles au regard de l’annulation du Privacy Shield ?
Guillaume Gamelin : Les clauses contractuelles sont là pour responsabiliser les entreprises qui transfèrent des données ou ont des accords de transfert de données avec les États-Unis. Elles doivent désormais mettre en place, contractuellement, des restrictions supplémentaires pour protéger les données. Si le Privacy Shield était un accord global, les clauses contractuelles sont, elles, spécifiques : chaque entreprise doit donc redoubler de vigilance quant à la protection et à la localisation des données.
L’impact de l’annulation du Privacy Shield est surtout sur les grandes entreprises. Toutes les sociétés n’utilisent pas des données personnelles d’une part, et dans des volumes importants, d’autre part. Un accompagnement juridique est essentiel pour renégocier le cadre du transfert. Dans le cadre du RGPD, les entreprises ont des obligations de moyens et doivent pouvoir apporter la preuve des mesures mises en œuvre pour assurer la sécurité des données .
La France et l'Allemagne travaillent actuellement sur le projet GAIA-X. Selon vous, une infrastructure paneuropéenne est-elle le meilleur moyen d'assurer un traitement et un stockage des données sûrs et transparents au regard de l’annulation du Privacy Shield ?
Guillaume Gamelin : En France et en Europe, nous parlons beaucoup de souveraineté en ce qui concerne les données personnelles, avec les notions de souveraineté nationale et de souveraineté européenne. Il faut savoir que l'Allemagne et la France sont deux pays qui disposent déjà de leur propre agence nationale de sécurité des systèmes d'information, l’ANSSI en France et la BSI en Allemagne. Ces agences ont une influence importante sur les entreprises publiques, et de plus en plus, sur les entreprises privées.
Cela fait déjà plusieurs années que la France cherche à assurer sa souveraineté nationale en matière de sécurité des données personnelles en créant, notamment, des centres de données locaux souverains. Je vais citer l'exemple de Numergy qui a malheureusement été un échec, non pas en matière de technologies, mais sur un plan économique. Considérer que l'on est capable, économiquement, de maintenir une société uniquement sur la France n’était pas viable. C’est pour cela que l’on est passé à un niveau européen et que l’on parle aujourd'hui de souveraineté européenne, et non plus de souveraineté nationale.
Le projet GAIA-X , c'est-à-dire la construction d’un réseau sécurisé européen, est pertinent. C’est un moyen de garantir au maximum la souveraineté, au-delà de la donnée. La transparence est cruciale, à travers l'utilisation de logiciels open source. Ce sont les deux piliers de GAIA-X : la transparence et la sécurisation de la donnée. Si des établissements publics rejoignent ce réseau privé, cela lui donnerait de grandes dimensions économiques.
GAIA-X a réellement un intérêt, et je pense que ce type d'infrastructures a de l’avenir.
Selon le baromètre Data Breach 2020, 54% des fuites de données en France ont une origine malveillante.2 Y a-t-il un type de données qui est plus particulièrement ciblé ?
Guillaume Gamelin : La violation est un accès non autorisé à l'information, via des données personnelles. Ces violations sont de deux types : soit les données sont prises en otage au moyen d’un chiffrement (on parle alors de rançonnage ou de ransomware), soit elles sont tout simplement volées. Les données sensibles, qui ont de la valeur, sont celles qui sont le plus visées par les hackers, et en particulier les données de recherche, les brevets et la propriété intellectuelle.
Quelles mesures concrètes de protection des données recommanderiez-vous aux dirigeants français ?
Guillaume Gamelin : La mise en place du RGPD en 2015 s’est accompagnée d’une obligation de moyens pour les entreprises. Beaucoup de prérequis sont déjà en place, mais si je devais conseiller trois mesures, ce serait de vérifier la localisation des données, de renforcer les modalités d’accès aux données et de les sécuriser à travers le chiffrement ou la protection des postes de travail, des serveurs et des réseaux.
La plupart des entreprises ont déjà adopté ces bonnes pratiques. Il existe aussi des outils pour se protéger des attaques de plus en plus ciblées, contre lesquelles un antivirus simple ne suffit plus. De nouveaux logiciels permettent d'étudier le comportement et de déterminer si vous êtes victime de hack. Ces EDR (Endpoint Detection and Response) devraient être mis en place dès aujourd’hui. Ce sont d’ailleurs exactement les recommandations de Gartner.3
Pensez-vous qu'une protection des données efficace apporte un avantage concurrentiel ? Si oui, est-ce le cas en France, selon vous ?
Guillaume Gamelin : C’est une question qui peut avoir deux réponses. Est-ce que le fait de protéger leurs données donne un avantage concurrentiel aux entreprises ? Je ne pense pas. En revanche, est-ce que le fait de ne pas les protéger peut les pénaliser ? Oui, puisque leurs services seront exposés à davantage de risques.
La sécurisation des données apporte un avantage concurrentiel lorsque les entreprises clientes sont sensibles aux questions de souveraineté européenne et de localisation des données.
La transformation digitale des entreprises s’est beaucoup accélérée ces derniers mois. Pensez-vous que cette crise a créé de nouvelles priorités en matière de cybersécurité ?
Guillaume Gamelin : La cybersécurité ne fait pas partie des priorités aujourd’hui, mais elle en sera une demain. La priorité actuelle des entreprises est de continuer à produire. Pour cela, elles ouvrent leurs systèmes d’information pour permettre le télétravail. Malheureusement, cette ouverture massive, rapide et mal sécurisée va créer une brèche importante. La sécurité des données deviendra alors une vraie priorité pour les entreprises.
1 'Cybersécurité : déjà deux fois plus de rançongiciels en 2020 qu'en 2019', Les Echos, 2020.
2 Baromètre Data Breach 2020, Publication FIC en partenariat avec PwC et Bessé et avec la participation de la CNIL.
3 'Gartner Top 9 Security and Risk Trends for 2020', 2020.