KPMG France

La cybersécurité est aussi une question de résilience

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Vincent MARET

Bien plus qu’un sujet d’actualité, la cyber­sé­cu­ri­té a voca­tion à res­ter au cœur des pré­oc­cu­pa­tions des entre­prises fran­çaises. Face à ce dan­ger, KPMG conseille et accom­pagne ses clients afin de mieux anti­ci­per et limi­ter les consé­quences des cybe­rat­taques. Le point avec Vincent Maret, asso­cié et res­pon­sable des acti­vi­tés cyber­sé­cu­ri­té et pro­tec­tion des don­nées per­son­nelles au sein du dépar­te­ment Connec­ted Tech de KPMG France.

Comment se positionne KPMG vis-à-vis de la cybersécurité ?

KPMG est un cabi­net d’audit et de conseil qui accom­pagne essen­tiel­le­ment les fonc­tions de direc­tion des entre­prises : direc­tions géné­rales, finan­cières, des risques, du contrôle interne… La cyber­sé­cu­ri­té est un sujet et un enjeu qui concerne l’ensemble de ces fonc­tions au sein d’une entre­prise quelle que soit sa taille. 

Les cybe­rat­taques sont deve­nues une réa­li­té qui peut para­ly­ser une entre­prise pen­dant des semaines, expo­ser ses don­nées, stop­per ses acti­vi­tés, impac­ter ses résul­tats finan­ciers et nuire à sa notoriété. 

Notre posi­tion­ne­ment his­to­rique auprès des entre­prises et de leurs direc­tions nous per­met de les conseiller et de les accom­pa­gner face à ce défi et ce risque avec per­ti­nence et efficacité. 

Au tra­vers de nos inter­ven­tions, nous proposons :

  • L’audit, le diag­nos­tic et l’évaluation pour aider les entre­prises à faire le point sur leur niveau de sécu­ri­té, les risques aux­quels elles sont expo­sées, leurs vul­né­ra­bi­li­tés, afin d’identifier ensuite les pro­ces­sus, outils et méca­nismes de pro­tec­tion à déployer ;
  • Un accom­pa­gne­ment et du conseil sur les ques­tions stra­té­giques, de gou­ver­nance et d’organisation ;
  • Ces pres­ta­tions sont basées sur des exper­tises tech­niques et tech­no­lo­giques poin­tues. Nous avons notam­ment des hackers éthiques au sein de nos équipes qui vont, par exemple, réa­li­ser des tests d’intrusion pour mettre à l’épreuve la sécu­ri­té du sys­tème d’information de nos clients afin d’identifier les failles éven­tuelles que les cybe­rat­ta­quants pour­raient exploiter. 

Sur ce sujet autour de quelles problématiques êtes-vous sollicités ? 

Le prin­ci­pal besoin des entre­prises est de pou­voir iden­ti­fier, éva­luer et prio­ri­ser les cyber­me­naces. En effet, une entre­prise peut comp­ter des dizaines de mil­liers de postes, de ser­veurs, de sites web… À cela s’ajoute un volume colos­sal de don­nées qui sont col­lec­tées, trai­tées et/ou sto­ckées dans les entre­prises. Un niveau de pro­tec­tion maxi­mal pour l’ensemble de ces élé­ments est com­plexe à déployer et à mettre en place, d’où la néces­si­té de prio­ri­ser les efforts et les inves­tis­se­ments finan­ciers afin de pri­vi­lé­gier les sys­tèmes les plus cri­tiques. Et pour ce faire, il est impé­ra­tif de pou­voir s’appuyer sur une car­to­gra­phie détaillée des risques cyber. Vient ensuite la mise en place des mesures de sécu­ri­sa­tion pré­ven­tives et détectives. 

L’explosion des cybe­rat­taques visant la sup­ply chain des entre­prises est un nou­veau risque auquel elles sont confron­tées. Dans ce cas de figure, au lieu de s’en prendre direc­te­ment à un groupe ou grande entre­prise, le cyber-atta­quant va cibler un de ses four­nis­seurs ou pres­ta­taires. De plus en plus, les entre­prises cherchent à mieux contrô­ler et quan­ti­fier ce risque en met­tant en place des réfé­ren­tiels pour leurs sous-trai­tants… C’est, d’ailleurs, un sujet sur lequel nous pou­vons intervenir.

“Si le risque zéro n’existe pas, il s’agit de pouvoir anticiper et limiter l’impact d’une cyberattaque. On parle alors de cyber résilience. Cela se traduit notamment par la préparation de plans de reprise, de programmation d’exercices de gestion crise pour être opérationnels le jour où surviendra une attaque…”

Ces actions doivent pro­té­ger les entre­prises sans impac­ter le tra­vail au quo­ti­dien des col­la­bo­ra­teurs. Il faut pou­voir trou­ver le bon niveau de sécu­ri­té et faire en sorte que la cyber­sé­cu­ri­té soit abor­dée de la manière la plus trans­pa­rente pos­sible pour embar­quer toutes les par­ties pre­nantes de l’entreprise.

Si le risque zéro n’existe pas, il s’agit de pou­voir anti­ci­per et limi­ter l’impact d’une cybe­rat­taque. On parle alors de cyber­ré­si­lience. Cela se tra­duit notam­ment par la pré­pa­ra­tion de plans de reprise, de pro­gram­ma­tion d’exercices de ges­tion crise pour être opé­ra­tion­nels le jour où sur­vien­dra une attaque… 

Quel regard portez-vous sur l’évolution de ce secteur ? 

Face à une menace qui ne fai­blit pas, c’est un sujet cri­tique au cœur des pré­oc­cu­pa­tions des entre­prises, qui n’hésitent, d’ailleurs, pas à allouer des bud­gets consi­dé­rables et des res­sources signi­fi­ca­tives afin de mettre en place des pro­grammes visant à garan­tir leur sécu­ri­té. C’est aus­si un domaine qui évo­lue très vite avec des cybe­rat­ta­quants qui se pro­fes­sion­na­lisent et qui struc­turent de mieux en mieux leurs attaques pour en ampli­fier l’impact. L’enjeu est de ne pas se lais­ser dis­tan­cer par les atta­quants qui innovent et uti­lisent les der­nières tech­no­lo­gies pour être plus effi­caces. Côté entre­prise, cela demande une veille per­ma­nente et le sui­vi des risques afin de garan­tir que les actions déployées sont tou­jours per­ti­nentes vis-à-vis de la menace. 

Aujourd’hui, l’impact d’une cybe­rat­taque dépasse le péri­mètre de l’entreprise. Ces attaques sont de plus en plus média­ti­sées. Au-delà des consé­quences au niveau de la noto­rié­té et de l’image, se pose aus­si la ques­tion de la confiance entre cette der­nière et l’ensemble de ses par­ties pre­nantes. Et cela est encore plus vrai dans des sec­teurs sen­sibles comme les banques qui sont, d’ailleurs, un domaine très règlementé. 

En parallèle, se pose également la question des compétences et des talents. Qu’en est-il et comment appréhendez-vous cet enjeu au sein de KPMG ?

Pour mettre en place une stra­té­gie de cyber­sé­cu­ri­té effi­ciente, les entre­prises ont besoin de pou­voir s’appuyer sur des com­pé­tences et des talents. Or, il y a, aujourd’hui, une vraie pénu­rie des res­sources cyber sur le mar­ché du tra­vail fran­çais : consul­tants, ingé­nieurs, experts de la cybersécurité… 

Grands groupes, ETI et PME peinent véri­ta­ble­ment à recru­ter et à ren­for­cer leurs équipes. Ces com­pé­tences sont aus­si recher­chées par les états et leurs dif­fé­rents ser­vices (ren­sei­gne­ment, armée, police, enti­tés dédiées à la cyber­cri­mi­na­li­té …). Le monde du conseil aus­si recrute mas­si­ve­ment pour déve­lop­per leur exper­tise et pro­po­ser de nou­veaux services.

Face à ce constat, de nom­breuses ini­tia­tives visent à solu­tion­ner ce pro­blème. Des écoles spé­cia­li­sées dans la cyber­sé­cu­ri­té ouvrent leurs portes. En interne, les entre­prises pro­posent éga­le­ment des pro­grammes et cam­pagnes de recon­ver­sion à leurs col­la­bo­ra­teurs pour les for­mer et les posi­tion­ner sur des métiers rela­tifs à la cyber­sé­cu­ri­té. Sur un plan plus opé­ra­tion­nel, les acteurs de la cyber­sé­cu­ri­té s’intéressent aus­si de plus en plus à l’IA et aux pers­pec­tives qu’elle porte en termes d’automatisation notamment.

Quelles pistes de réflexion pourriez-vous partager avec notre lectorat sur ce sujet ?

Je pense qu’il est impor­tant de bien avoir en tête que l’ensemble des acteurs d’une entre­prise, du diri­geant au mana­ger en pas­sant par les chefs de pro­jets ou les ingé­nieurs, va être confron­té à cette menace. Ce sont donc toutes les stra­té­gies de l’entreprise, mais aus­si tous ses métiers qui doivent être sen­si­bi­li­sés à cet enjeu. 

Un autre point d’intérêt concerne la dimen­sion tech­no­lo­gique de la cyber­sé­cu­ri­té. Le sujet a émer­gé avec le déve­lop­pe­ment de l’informatique. Tou­te­fois, les der­nières tech­no­lo­gies sont aus­si concer­nées par ce risque : le cloud, l’IA, la blo­ck­chain et demain les ordi­na­teurs quan­tiques… Il ne faut donc pas oublier de les inté­grer dans sa stra­té­gie cyber. 

Poster un commentaire