Risque Cyber : anticiper, prévenir et agir
PDF de l'articleImade Elbaraka, Associé chez Deloitte et responsable (managing partner) de l’activité Cyber Risk Services, répond à nos questions autour du challenge posé par la cybersécurité dans un environnement évolutif et complexe. Entretien.
Quelle est l’approche de Deloitte en matière de cybersécurité ?
Elle est clairement englobante. Parce que le numérique est désormais présent dans tous les métiers et fonctions de l’entreprise, nous élargissons le concept à la notion de sécurité du numérique. Notre vision de la cyber est transverse, multiforme et omniprésente.
Dans l’inconscient collectif et de manière générale, la cybersécurité renvoie à l’action de « détecter et répondre » à un agresseur numérique. C’est en quelque sorte la capacité « pompier ». Mais notre approche et notre portefeuille capacitaire sont bien plus larges. En effet, nous avons opté pour une sécurité by design » qui va couvrir des dimensions comme la stratégie, l’architecture, les infrastructures, les partenariats, le cloud… Autant de sujets clés qui exigent d’être intégrés et pris en compte en amont des éventuelles attaques. Il en est de même après une attaque, notamment dans le cadre d’une reconstruction ou tout simplement pour optimiser les dispositifs existants.
Dans ce contexte, quels sont les principaux besoins pour les entreprises que vous accompagnez ?
La sécurité et la gestion de crise doivent se construire à 90 % avant même la survenue d’un événement. En effet, une architecture résistante est une architecture qui a été bien conçue au départ. Un partenariat solide avec un sous-traitant suppose une construction sur des bases initiales fortes afin de créer une véritable relation de connaissance mutuelle et de fiabilité partagée.
Sur le terrain, nous avons identifié principalement trois besoins. Tout d’abord, les acteurs économiques dans leur majorité, méritent de mieux connaître leurs systèmes d’information (SI) pour appréhender leurs faiblesses et vulnérabilités. Cela passe par des schémas directeurs, des architectures détaillées et à jour, de l’analyse de risques, des audits… De surcroît, nos clients doivent bien souvent approfondir une nécessaire vision agnostique des équipements de défense de SI à laquelle s’ajoute une capacité à s’adapter et à intégrer les réglementations, notamment européennes (NIS2, DORA, HDS, RGPD…). Il convient d’ailleurs à cet égard de ne pas être dépendant d’une marque ou d’une relation commerciale. Dans ce domaine, le principal enjeu est d’être en mesure d’identifier, voire d’anticiper, les changements importants dans un monde qui bouge plus souvent et plus vite.
Enfin, nous avons noté un véritable besoin de prospective notamment pour mieux appréhender les prochaines évolutions sur les cinq prochaines années avec une attention particulière à l’impact des nouvelles disruptions techniques sur la Cyber, les réglementations sur les stratégies, la révolution en cours des systèmes de défense.
Dans un monde qui évolue et qui change, pour les entreprises, il s’agit de pouvoir s’appuyer sur un accompagnement pertinent, réaliser les bons investissements, développer et optimiser ses capacités proactives et préventives.
Quels sont les principaux sujets et enjeux qui vous mobilisent dans ce cadre ?
Les enjeux et sujets sont nombreux et aussi diversifiés que les clients et entreprises que nous conseillons. J’en retiens principalement trois :
- La montée des réglementations européennes visant à protéger les SI européens, notamment dans les secteurs critiques (santé, éducation, industries sensibles…), des sorties de données vers d’autres espaces juridiques et économiques (États-Unis en particulier) ;
- L’émergence toujours plus rapide de nouveaux paradigmes de défense et de nouveaux outils associés (protection des données vs protection périmétrique, IA et automatisation avancée, analyse proactive des signaux faibles…) qui vont profondément transformer l’approche de défense, mais également nécessiter un focus continu sur la formation des experts ainsi qu’une plus grande réactivité de la part de l’ensemble des parties prenantes ;
- Et enfin, le paradoxe entre une mobilisation considérable d’investissements dans la cybersécurité (VC, États, fonds …) et la constitution d’espaces juridiques plus fermés pour protéger les données, carburant de l’économie de demain. Il s’agira non seulement d’équilibrer les investissements pour permettre des solutions qui fluidifient l’économie mondiale mais aussi d’éviter la création de silos qui ne seront pas bénéfiques à l’économie de demain.
Comment voyez-vous ce secteur évoluer et quelles sont vos perspectives dans cette continuité ?
Concrètement, le secteur va voir émerger de nombreux services opérés, dits services managés, de plus en plus pointus et à distance. Deloitte s’y adapte et essaie d’anticiper ces nouvelles tendances. Nous avons ainsi développé un Delivery Center à Madrid pour servir nos clients européens. Il inclut en son sein un juste équilibre entre des solutions globales (souvent américaines) et des solutions dites souveraines ou en voie de l’être. La même démarche a été adoptée pour notre centre cyber basé à Casablanca pour servir nos besoins en Afrique francophone. Le réseau Deloitte dispose, par ailleurs, de centres similaires en Inde, en Indonésie ou en Amérique. Le maillage entre ces centres, en plus de préserver les spécificités locales, juridiques ou techniques, permet la couverture des besoins de clients globaux, comme les entreprises du CAC40. Ces dernières ne pourront plus maintenir un niveau de compétences et d’investissement internes suffisant dans un contexte d’explosion quasi exponentielle du risque cyber. L’intervention managée va devenir totalement incontournable, car elle sera le produit d’acteurs ayant à la fois centralisé leurs investissements et régionalisé leurs services sur le plan mondial.
Au niveau du business des fournisseurs de cyber, nous observerons des concentrations et des consolidations. Seuls les acteurs ayant une forte R&D pour s’adapter à des cycles d’évolution très rapides (18 mois en moyenne) survivront à terme. La subtilité consistera probablement à pouvoir agir globalement et à atteindre en même temps les objectifs locaux ou régionaux des environnements protégés tout en rejetant une partie des règles imposées par le droit américain extraterritorial. L’enjeu pour les entreprises et donc pour des acteurs comme Deloitte, sera de pouvoir articuler le global (droit américain, gestion des données personnelles particulières) avec le local (zone protégée, RGPD en Europe, directive NIS, réglementation Dora…). Il ne s’agit pas d’être excluant de ce qui vient de l’international ou des États-Unis, mais de définir des cadres de coopération stables et de les contrôler sur les plans technique et juridique.
Qu’en est-il sur le plan humain et en termes de compétences dans ce secteur ?
Deloitte reste une entreprise extrêmement attractive et, sur un marché en tension, nous n’avons à ce stade pas de problèmes majeurs de recrutement. Sur les quatre derniers mois, nous avons recruté une cinquantaine de consultants. Si l’aspect rétribution reste important, le recrutement est avant tout un enjeu de projet d’entreprise, d’accompagnement et de formation. Les experts en cyber s’attendent à des salaires au-dessus de la moyenne avec des perspectives de fortes augmentations et la possibilité, par exemple, pour un junior de doubler son salaire en 5 à 6 ans. Nous nous adaptons et offrons par ailleurs des passerelles vers d’autres métiers et/ou zones géographiques afin de pouvoir travailler avec des clients divers opérant dans une multitude de secteurs. C’est aussi la possibilité de voyager dans le monde entier, d’interagir avec d’autres cultures de travail et de découvrir des métiers variés et passionnants.
Au-delà, nous cherchons aussi à répondre aux attentes des jeunes générations qui aujourd’hui sont en quête de sens dans le monde du travail. C’est un enjeu capital de fidélisation (protection de nos actifs, souveraineté, attention aux autres…).
Nos jeunes consultants, qui restent chez Deloitte en moyenne cinq à sept ans, considèrent que leur parcours chez nous est très intéressant et que Deloitte est un véritable accélérateur de carrière. D’autres poursuivent leur parcours au sein du cabinet et découvrent d’autres enjeux de management et de business propres au métier de consultant.
Le mot de la fin ?
Le risque cyber est omniprésent. Du domicile au lieu de travail, à la vie au quotidien, le risque cyber est sous-jacent et souvent invisible. Il existe une loi de la gravitation numérique, tout comme il y a une loi de la gravitation physique. Il faut en connaître les règles sous peine de disparaître pour donner suite à une attaque ou à une panne.
Dans ce domaine, la formation continue n’est désormais plus une option, mais une impérieuse nécessité pour suivre des évolutions technologiques très rapides. Il est aussi essentiel de sensibiliser et d’informer les Comex, les clients et les partenaires. Enfin, je pense qu’il est aussi important de développer des capacités de management et de stratégie appliquées au monde du numérique. Ces compétences éclairées sont plus que jamais nécessaires pour gérer une crise cyber ou plus largement mener une transformation numérique réussie et anticiper les mutations de demain.
Nous sommes d’ailleurs en recherche active d’ingénieurs motivés afin de nous accompagner dans nos futurs projets.
Articles similaires :
L’humain l’atout pour le monde digital
Stocker, fiabiliser, sécuriser et valoriser vos données !dat
S’adapter à une cybercriminalité en mutation
Stormshield : Un positionnement spécialisé et expert au service de la cybersécurité
La cybersécurité est aussi une question de résilience
La sécurité des données : une affaire de technologie et de personnes