Risque Cyber : anticiper, prévenir et agir

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Imade ELBARAKA

Imade Elba­ra­ka, Asso­cié chez Deloitte et res­pon­sable (mana­ging part­ner) de l’activité Cyber Risk Ser­vices, répond à nos ques­tions autour du chal­lenge posé par la cyber­sé­cu­ri­té dans un envi­ron­ne­ment évo­lu­tif et com­plexe. Entretien.

Quelle est l’approche de Deloitte en matière de cybersécurité ? 

Elle est clai­re­ment englo­bante. Parce que le numé­rique est désor­mais pré­sent dans tous les métiers et fonc­tions de l’entreprise, nous élar­gis­sons le concept à la notion de sécu­ri­té du numé­rique. Notre vision de la cyber est trans­verse, mul­ti­forme et omniprésente.

Dans l’inconscient col­lec­tif et de manière géné­rale, la cyber­sé­cu­ri­té ren­voie à l’action de « détec­ter et répondre » à un agres­seur numé­rique. C’est en quelque sorte la capa­ci­té « pom­pier ». Mais notre approche et notre por­te­feuille capa­ci­taire sont bien plus larges. En effet, nous avons opté pour une sécu­ri­té by desi­gn » qui va cou­vrir des dimen­sions comme la stra­té­gie, l’architecture, les infra­struc­tures, les par­te­na­riats, le cloud… Autant de sujets clés qui exigent d’être inté­grés et pris en compte en amont des éven­tuelles attaques. Il en est de même après une attaque, notam­ment dans le cadre d’une recons­truc­tion ou tout sim­ple­ment pour opti­mi­ser les dis­po­si­tifs existants. 

Dans ce contexte, quels sont les principaux besoins pour les entreprises que vous accompagnez ? 

La sécu­ri­té et la ges­tion de crise doivent se construire à 90 % avant même la sur­ve­nue d’un évé­ne­ment. En effet, une archi­tec­ture résis­tante est une archi­tec­ture qui a été bien conçue au départ. Un par­te­na­riat solide avec un sous-trai­tant sup­pose une construc­tion sur des bases ini­tiales fortes afin de créer une véri­table rela­tion de connais­sance mutuelle et de fia­bi­li­té partagée. 

Sur le ter­rain, nous avons iden­ti­fié prin­ci­pa­le­ment trois besoins. Tout d’abord, les acteurs éco­no­miques dans leur majo­ri­té, méritent de mieux connaître leurs sys­tèmes d’information (SI) pour appré­hen­der leurs fai­blesses et vul­né­ra­bi­li­tés. Cela passe par des sché­mas direc­teurs, des archi­tec­tures détaillées et à jour, de l’analyse de risques, des audits… De sur­croît, nos clients doivent bien sou­vent appro­fon­dir une néces­saire vision agnos­tique des équi­pe­ments de défense de SI à laquelle s’ajoute une capa­ci­té à s’adapter et à inté­grer les régle­men­ta­tions, notam­ment euro­péennes (NIS2, DORA, HDS, RGPD…). Il convient d’ailleurs à cet égard de ne pas être dépen­dant d’une marque ou d’une rela­tion com­mer­ciale. Dans ce domaine, le prin­ci­pal enjeu est d’être en mesure d’identifier, voire d’anticiper, les chan­ge­ments impor­tants dans un monde qui bouge plus sou­vent et plus vite. 

Enfin, nous avons noté un véri­table besoin de pros­pec­tive notam­ment pour mieux appré­hen­der les pro­chaines évo­lu­tions sur les cinq pro­chaines années avec une atten­tion par­ti­cu­lière à l’impact des nou­velles dis­rup­tions tech­niques sur la Cyber, les régle­men­ta­tions sur les stra­té­gies, la révo­lu­tion en cours des sys­tèmes de défense. 

Dans un monde qui évo­lue et qui change, pour les entre­prises, il s’agit de pou­voir s’appuyer sur un accom­pa­gne­ment per­ti­nent, réa­li­ser les bons inves­tis­se­ments, déve­lop­per et opti­mi­ser ses capa­ci­tés proac­tives et préventives.

Quels sont les principaux sujets et enjeux qui vous mobilisent dans ce cadre ? 

Les enjeux et sujets sont nom­breux et aus­si diver­si­fiés que les clients et entre­prises que nous conseillons. J’en retiens prin­ci­pa­le­ment trois : 

  • La mon­tée des régle­men­ta­tions euro­péennes visant à pro­té­ger les SI euro­péens, notam­ment dans les sec­teurs cri­tiques (san­té, édu­ca­tion, indus­tries sen­sibles…), des sor­ties de don­nées vers d’autres espaces juri­diques et éco­no­miques (États-Unis en particulier) ;
  • L’émergence tou­jours plus rapide de nou­veaux para­digmes de défense et de nou­veaux outils asso­ciés (pro­tec­tion des don­nées vs pro­tec­tion péri­mé­trique, IA et auto­ma­ti­sa­tion avan­cée, ana­lyse proac­tive des signaux faibles…) qui vont pro­fon­dé­ment trans­for­mer l’approche de défense, mais éga­le­ment néces­si­ter un focus conti­nu sur la for­ma­tion des experts ain­si qu’une plus grande réac­ti­vi­té de la part de l’ensemble des par­ties prenantes ; 
  • Et enfin, le para­doxe entre une mobi­li­sa­tion consi­dé­rable d’investissements dans la cyber­sé­cu­ri­té (VC, États, fonds …) et la consti­tu­tion d’espaces juri­diques plus fer­més pour pro­té­ger les don­nées, car­bu­rant de l’économie de demain. Il s’agira non seule­ment d’équilibrer les inves­tis­se­ments pour per­mettre des solu­tions qui flui­di­fient l’économie mon­diale mais aus­si d’éviter la créa­tion de silos qui ne seront pas béné­fiques à l’économie de demain.

Comment voyez-vous ce secteur évoluer et quelles sont vos perspectives dans cette continuité ?

Concrè­te­ment, le sec­teur va voir émer­ger de nom­breux ser­vices opé­rés, dits ser­vices mana­gés, de plus en plus poin­tus et à dis­tance. Deloitte s’y adapte et essaie d’anticiper ces nou­velles ten­dances. Nous avons ain­si déve­lop­pé un Deli­ve­ry Cen­ter à Madrid pour ser­vir nos clients euro­péens. Il inclut en son sein un juste équi­libre entre des solu­tions glo­bales (sou­vent amé­ri­caines) et des solu­tions dites sou­ve­raines ou en voie de l’être. La même démarche a été adop­tée pour notre centre cyber basé à Casa­blan­ca pour ser­vir nos besoins en Afrique fran­co­phone. Le réseau Deloitte dis­pose, par ailleurs, de centres simi­laires en Inde, en Indo­né­sie ou en Amé­rique. Le maillage entre ces centres, en plus de pré­ser­ver les spé­ci­fi­ci­tés locales, juri­diques ou tech­niques, per­met la cou­ver­ture des besoins de clients glo­baux, comme les entre­prises du CAC40. Ces der­nières ne pour­ront plus main­te­nir un niveau de com­pé­tences et d’investissement internes suf­fi­sant dans un contexte d’explosion qua­si expo­nen­tielle du risque cyber. L’intervention mana­gée va deve­nir tota­le­ment incon­tour­nable, car elle sera le pro­duit d’acteurs ayant à la fois cen­tra­li­sé leurs inves­tis­se­ments et régio­na­li­sé leurs ser­vices sur le plan mondial.

Au niveau du busi­ness des four­nis­seurs de cyber, nous obser­ve­rons des concen­tra­tions et des conso­li­da­tions. Seuls les acteurs ayant une forte R&D pour s’adapter à des cycles d’évolution très rapides (18 mois en moyenne) sur­vi­vront à terme. La sub­ti­li­té consis­te­ra pro­ba­ble­ment à pou­voir agir glo­ba­le­ment et à atteindre en même temps les objec­tifs locaux ou régio­naux des envi­ron­ne­ments pro­té­gés tout en reje­tant une par­tie des règles impo­sées par le droit amé­ri­cain extra­ter­ri­to­rial. L’enjeu pour les entre­prises et donc pour des acteurs comme Deloitte, sera de pou­voir arti­cu­ler le glo­bal (droit amé­ri­cain, ges­tion des don­nées per­son­nelles par­ti­cu­lières) avec le local (zone pro­té­gée, RGPD en Europe, direc­tive NIS, régle­men­ta­tion Dora…). Il ne s’agit pas d’être excluant de ce qui vient de l’international ou des États-Unis, mais de défi­nir des cadres de coopé­ra­tion stables et de les contrô­ler sur les plans tech­nique et juridique.

Qu’en est-il sur le plan humain et en termes de compétences dans ce secteur ?

Deloitte reste une entre­prise extrê­me­ment attrac­tive et, sur un mar­ché en ten­sion, nous n’avons à ce stade pas de pro­blèmes majeurs de recru­te­ment. Sur les quatre der­niers mois, nous avons recru­té une cin­quan­taine de consul­tants. Si l’aspect rétri­bu­tion reste impor­tant, le recru­te­ment est avant tout un enjeu de pro­jet d’entreprise, d’accompagnement et de for­ma­tion. Les experts en cyber s’attendent à des salaires au-des­sus de la moyenne avec des pers­pec­tives de fortes aug­men­ta­tions et la pos­si­bi­li­té, par exemple, pour un junior de dou­bler son salaire en 5 à 6 ans. Nous nous adap­tons et offrons par ailleurs des pas­se­relles vers d’autres métiers et/ou zones géo­gra­phiques afin de pou­voir tra­vailler avec des clients divers opé­rant dans une mul­ti­tude de sec­teurs. C’est aus­si la pos­si­bi­li­té de voya­ger dans le monde entier, d’interagir avec d’autres cultures de tra­vail et de décou­vrir des métiers variés et passionnants.

Au-delà, nous cher­chons aus­si à répondre aux attentes des jeunes géné­ra­tions qui aujourd’hui sont en quête de sens dans le monde du tra­vail. C’est un enjeu capi­tal de fidé­li­sa­tion (pro­tec­tion de nos actifs, sou­ve­rai­ne­té, atten­tion aux autres…).

Nos jeunes consul­tants, qui res­tent chez Deloitte en moyenne cinq à sept ans, consi­dèrent que leur par­cours chez nous est très inté­res­sant et que Deloitte est un véri­table accé­lé­ra­teur de car­rière. D’autres pour­suivent leur par­cours au sein du cabi­net et découvrent d’autres enjeux de mana­ge­ment et de busi­ness propres au métier de consultant. 

Le mot de la fin ? 

Le risque cyber est omni­pré­sent. Du domi­cile au lieu de tra­vail, à la vie au quo­ti­dien, le risque cyber est sous-jacent et sou­vent invi­sible. Il existe une loi de la gra­vi­ta­tion numé­rique, tout comme il y a une loi de la gra­vi­ta­tion phy­sique. Il faut en connaître les règles sous peine de dis­pa­raître pour don­ner suite à une attaque ou à une panne. 

Dans ce domaine, la for­ma­tion conti­nue n’est désor­mais plus une option, mais une impé­rieuse néces­si­té pour suivre des évo­lu­tions tech­no­lo­giques très rapides. Il est aus­si essen­tiel de sen­si­bi­li­ser et d’informer les Comex, les clients et les par­te­naires. Enfin, je pense qu’il est aus­si impor­tant de déve­lop­per des capa­ci­tés de mana­ge­ment et de stra­té­gie appli­quées au monde du numé­rique. Ces com­pé­tences éclai­rées sont plus que jamais néces­saires pour gérer une crise cyber ou plus lar­ge­ment mener une trans­for­ma­tion numé­rique réus­sie et anti­ci­per les muta­tions de demain.

Nous sommes d’ailleurs en recherche active d’ingénieurs moti­vés afin de nous accom­pa­gner dans nos futurs projets. 

Poster un commentaire