47 % des répondants de l’enquête sur la Gouvernance de l’information publiée au printemps 2020 craignaient autant les défaillances internes que les crimes technologiques pour les systèmes d’information de leur organisation. C'est donc un répondant sur 2 qui exprimait des inquiétudes quant à la capacité de sa DSI à faire face à des risques informatiques, et ont mis sur le même niveau les risques de cyber attaque (virus, ramsonware, etc.) ou de défaillances de leur propre système. C'est un pourcentage élevé qui fait "malheureusement" écho à l'actualité quotidienne nous informant sur la situation de tel hôpital, telle collectivité ou telle société du secteur privé, victimes d'une cyberattaque sur leur système d'information avec des dégâts qui peuvent être lourds de conséquences : arrêt d'activité (comme l'impossibilité de prendre en charge certains patients dans un hôpital), perte de données (impossibilité d'accéder à l'Etat Civil d'une commune). Cela nous rappelle que les projets de schéma directeur de dématérialisation, tout comme ceux de schémas directeurs SI, doivent s’implémenter selon 3 axes principaux :
- socles métiers (comptabilité, achats, marketing…)
- socles techniques
- socle de pilotage de la gouvernance
Depuis quelques années, les organisations digitalisent les activités métiers et les activités supports ; elles passent progressivement au 100 % numérique. La crise sanitaire due au Covid 19 a accéléré le développement d’activités à distance, et a également boosté les actes malveillants. Il est donc évident que plus les activités et procédures se digitalisent, plus les risques du numérique augmentent : CQFD.
Et quand on parle de risques numériques, on parle donc de cybersécurité.
Rappelons qu’il existe plusieurs types de cyber risques : défiguration, déni de service, Advanced Persistent Threat (ATP), etc. : différentes menaces qui s’attaquent soit à la disponibilité de vos données, à leur intégrité ou à leur confidentialité (notamment au regard des données RGPD), le plus fréquent étant le déni de service via le cryptage des données au travers des ransomwares dont certaines collectivités ont fait les frais à Noël dernier. En ce début d’année, on observe une accélération des attaques auprès de centres hospitaliers comme le CHU de Dax et de Villefranche.
Qu’en est-il de la maîtrise des risques cyber ?
Ces attaques visent à infiltrer vos systèmes d’informations (SSI), et ce au travers de différentes méthodes pour casser vos mots de passe administrateur système ou celui de votre ECM ou GED via des attaques distribuées, par permutation, par force brute, etc.
Sans entrer dans un jargon technique lourd, il convient ici de comprendre les bonnes pratiques et surtout de comprendre le lien fort entre vos projets digitaux et la cybersécurité.
La cybersécurité et les projets du numérique sont donc intimement liés. La cybersécurité peut être analysée comme un axe transversal et commun aux trois axes de vos schémas directeurs.
1 : Un socle technique
Oui, la cybersécurité, ça passe par l’implémentation d’antivirus, de pare-feu, de cryptage des données sensibles, de redonder ses serveurs, des mots de passe sérieux, de faire des campagnes de tests d’intrusion, etc. Pas de surprise.
2 : Un lien métier
La transformation des projets métiers n’échappe en rien aux risques cyber. Il convient d’identifier lors des projets de transformation, les failles et risques des nouvelles pratiques : téléchargements, transferts auprès de partenaires externes par exemple.
3 : Le pilotage de la gouvernance
On parle ici des pratiques organisationnelles. Peut-être le point le plus important, et qui a tendance à être bâclé. A titre d’exemple, ranger ses dossiers dans une arborescence sérieuse et ne pas laisser ses données sur le bureau ou sur votre poste de travail. Cela revient à laisser les bijoux sur le meuble de l’entrée dans son logement lors d’un cambriolage. Former les collaborateurs sur les risques et pratiques, imposer un changement des mots de passe régulièrement, effectuer des campagnes de test de phishing auprès des collaborateurs sont autant d’actions indispensables à mener.
La mise en place globale d’une stratégie de transformation digitale à travers un schéma directeur de la dématérialisation, doit se voir enrichie d’un travail en cybersécurité transversal aux métiers et aux étapes si vous espérez anticiper et maîtriser les attaques, dont le nombre ne fait qu’augmenter. En 2020, 91 % des organisations françaises, des entreprises aux hôpitaux en passant par les collectivités publiques, ont été la cible de cyberattaques.
Victor Ablard-Chauvet
Consultant AMOA Serda Conseil