Le boom du secteur de la cybersécurité

En mai 2017, la plus grande cyberattaque mondiale - nommée “WannaCry” - s’est propagée dans plus de 150 pays et a fait plus de 300 000 victimes en quelques jours. La multiplication inquiétante de ces attaques de masse conduit à une prise de conscience générale des failles de nos systèmes et donne des ailes au marché de la protection informatique.

La sécurité de l’information a toujours été une histoire de gendarmes et de voleurs. D’un côté, les pirates conçoivent des attaques toujours plus complexes et élaborées, de l’autre les entreprises tentent de répliquer et de bâtir des barrières plus efficaces. Cloud computing, intelligence artificielle, big data… autant d’outils qui servent aux uns comme aux autres et élargissent le champ des possibles. Dans cette lutte incessante, la cybersécurité est devenue peu à peu le segment le plus dynamique de la filière IT.

Tous les secteurs sont touchés, même si certains restent particulièrement attractifs pour les pirates. La banque et la finance sont leur péché mignon.

Les évolutions du secteur

Si la croissance de l’IT a été engagée depuis quelques années déjà, il aura fallu du temps et quelques scandales avant que les entreprises donnent à leurs équipes IT les ressources pour bâtir un système de protection réellement efficace. En effet, pour une entreprise avec quelques milliers de salariés, un plan de protection peut coûter plusieurs dizaines de millions d’euros. Et le retour sur investissement est difficile à calculer puisque l’intérêt d’une bonne protection est justement d’éviter les attaques et leurs conséquences financières.

Autre constat : personne n’est à l’abri. Tous les secteurs sont touchés, même si certains restent particulièrement attractifs pour les pirates. La banque et la finance sont leur péché mignon. Une enquête Accenture de 2016 estime que les établissements bancaires subissent environ 85 tentatives d’infractions sérieuses chaque année… soit près de deux par semaine ! Sur ces attaques, un tiers d’entre elles conduiraient à des brèches permettant aux intrus de récupérer des informations sensibles. Encore un petit creux ? Les pirates sont particulièrement friands du domaine de la santé. Les hôpitaux agrègent une multitude de données sur chaque patient : nom, adresse, traitements, historique médical, situation financière, etc.20% des hôpitaux britanniques ont d’ailleurs été touchés par l’attaque WannaCry citée plus haut. Et pour le dessert : le commerce en ligne. Un secteur particulièrement vulnérable avec une vaste surface d’attaque, qui récolte des données clients particulièrement sensibles et monnayables.

Qui se partage le gâteau ?

Prise de conscience, transformation numérique, nouvelles réglementations… Les organisations dépensent davantage en termes de sécurité informatique. La cyberprotection est devenu un marché juteux. Et l’IT s’inscrit aujourd’hui plus que jamais dans un jeu concurrentiel complexe, entre rapports de force et relations d’interdépendances entre entreprises, éditeurs, cabinets de conseil, gouvernements, etc.

D’ici 2020, plus de 60% des entreprises devraient investir dans de nouveaux outils de sécurité des données, contre 35% aujourd’hui.

Les cabinets de conseil se partagent la part du roi. Les grandes vagues de “ransomware” - ces logiciels qui prennent en otage des données contre une rançon - des années 2014-2015 ont créé des opportunités commerciales extrêmement intéressantes. Les entreprises ont pris conscience de leur vulnérabilité et ont commencé à investir dans des prestations de conseil, ne possédant pas toujours les compétences en interne.

En 2017, la création d’un regroupement majeur a également fait parler de lui. IBM, Nokia, Trustonic et d’autres ont formé l’IoT Cybersecurity Alliance afin de relever les défis liés à la cybersécurité appliquée aux objets connectés et aider leurs clients à trouver des solutions. Plus important, l’un de leurs principaux objectifs est d’influencer les normes et les politiques de sécurité au niveau mondial.

Et les entreprises spécialisées et les start-up ne sont pas en reste. Chaque attaque massive ré-injecte de l’argent dans le secteur, les cours de la Bourse explosent et les start-up lèvent des millions en claquant des doigts. La start-up israélienne CrowdStrike a ainsi levé 59 millions de dollars en octobre 2015 puis 100 millions de dollars en juin 2017, quelques mois après des attaques importantes. Aujourd’hui, la France elle aussi fait naître et développe ses propres pépites : on recense plus de 100 start-up et PME innovantes en matière de cybersécurité.

Le gâteau de la cybersécurité ne cesse de grossir, et ce n’est pas fini. Selon une étude du cabinet Gartner, d’ici 2020 plus de 60% des entreprises devraient investir dans de nouveaux outils de sécurité des données (cryptage, audit, etc.), contre 35% aujourd’hui.

Les défis de la cybersécurité

La professionnalisation des pirates

La première cyberattaque répertoriée à l’échelle mondiale est celle du “ver Morris” de 1988, orchestrée par un ancien étudiant de l’Université de Cornell devenu par la suite professeur au MIT. À l’époque, son auteur avait simplement l’intention de se servir de ce virus pour “mesurer la taille de l’Internet”. 6 000 ordinateurs ont été touchés et l’affaire a été le premier cas médiatisé de cyberattaque.

Depuis, les pirates ne sont plus de simples étudiants cachés dans une chambre exiguë mais de véritables gangs entraînés et organisés. La Corée du Nord est même accusée d’en avoir fait l’une des principales sources de revenus de son gouvernement. Le régime a mis en place un véritable système de sélection et de formation pour former les meilleurs hackers. L’année dernière, ceux-ci seraient parvenus à voler des plans militaires sud-coréens secrets et à “cyber-braquer” plusieurs banques et plateformes d’échange de bitcoins.

Si les pirates se multiplient et se professionnalisent, les “gentils” sont une ressource rare.

Une pénurie de compétences

Si les pirates se multiplient et se professionnalisent, les “gentils” sont une ressource rare. D’après une étude de CapGemini, 68% des entreprises dans le monde ont des besoins de compétences en cybersécurité pour lesquels elles ne parviennent pas à recruter aujourd’hui. Et ces besoins ne peuvent que croître d’ici 2020. Le Center for Cyber Safety and Education estime également que 1,8 million de postes seraient à pourvoir dans le monde de la sécurité informatique dans les 5 prochaines années.

Recruter et former les cerveaux de demain est devenu une priorité stratégique nationale et européenne. Des dizaines de formations font peu à peu leur apparition. Les pouvoirs publics encouragent ces initiatives et c’est ainsi que Sciences Po propose maintenant une spécialité « Sécurité et défense » ou encore l’Ecole de Guerre Economique un MBA « Management des Risques, Sûreté Internationale et Cybersécurité ». De leur côté, les grandes entreprises sont contraintes de former en interne pour répondre à leurs besoins les plus urgents.

De nouvelles portes d’entrée

En entreprise, les nouveaux outils et les nouvelles pratiques liées à la transformation digitale ne cessent d’augmenter la surface d’attaque des pirates. Les équipements sont très souvent en réseau et les collaborateurs les utilisent pour accéder à des informations sensibles, personnelles, parfois financières. Il n’y a plus d’étanchéité entre les différents outils et les différents départements. Et même dans des systèmes fermés, une simple clé USB ou un câble quelconque peuvent conduire à une brèche.

Les objets connectés sont également une source d’inquiétude pour les responsables de sécurité. D’aprèsune étude d’Opinion Way3 de mars 2017, 52% des français possèdent au moins un objet connecté, contre 35% en 2016. Ces objets sont principalement des montres et des box internet, mais on compte aussi de plus en plus d’éléments de la domotique (serrures, alarmes, télévisions, etc.). Autant d’outils pour lesquels les protections sont souvent très (trop) faibles.

La mise en conformité au RGPD a représenté 670 millions d’euros de dépenses en logiciels et services, et devrait atteindre en 2018 près d’1 milliard.

Que dit la loi ?

Plus que les attaques médiatisées, les réglementations sont le véritable moteur du marché de la cybersécurité. D’un point de vue législatif, la prise de conscience est plutôt avancée en France. En 2013, la loi de programmation militaire a obligé les entreprises sensibles (énergie, transport, finance, etc.) à mettre en place des infrastructures de cyberprotection, se soumettre à des contrôles réguliers et déclarer les incidents sérieux sur leurs réseaux. Et ce, sous peine d’une amende de 150 000€ à 750 000€.

Bientôt, c’est l’Union Européenne toute entière qui ira plus loin. Le Règlement Européen sur la Protection des Données Personnelles (GDPR) obligera dès le 28 mai 2018 les entreprises à mieux sécuriser leurs données ainsi que celles de leurs clients. On note que la mise en conformité a déjà représenté près de 670 millions d’euros d’investissements en 2017 (logiciels et services confondus)… et devrait rapporter près d’1 milliard en 2018 !

Des conseils simples pour se protéger contre les pirates

Le temps où les entreprises ne se sentaient pas concernées par le sujet de la cybersécurité est révolu.

• Utilisez des mots de passe uniques et complexes pour chaque outil, logiciel et application. Alternez les majuscules, minuscules, caractères spéciaux et farandoles de chiffres. Et on ne les note pas dans un bloc-note, petit malin ! Pour vous aider, pourquoi ne pas avoir une « base » de mot de passe à laquelle vous ajoutez simplement une extension spécifique à l’outil concerné ? Par exemple : GMA%JaMb18 pour votre messagerie Gmail, YAM%JaMb18 pour Yammer, SLA% JaMb18 pour votre compte Slack. Ces mots de passe complexes sont tous décomposés de la façon suivante : les trois premières lettres du nom de l’outil utilisé + le signe % + les premières lettres de « j’aime ma boite »), avec une alternance de majuscule et minuscule + les deux derniers chiffres de l’année. Facile, n’est-ce pas ?
• Vérifiez les paramètres de sécurité par défaut de chaque outil afin d’éviter le tracking des données. Certains enregistrent vos déplacements, vos contacts, vos actions, etc. Si vous ne pouvez pas vous protéger de tout, faites simplement attention à donner accès au minimum nécessaire.
• Faites les mises à jour régulières proposées par vos outils et applications. Les éditeurs proposent régulièrement de nouvelles protections face aux dernières attaques inventées par les pirates.
• Signalez les e-mails louches reçus sur votre boîte e-mail professionnelle. Car non, vous n’avez pas réellement hérité d’une mine de diamant à l’autre bout du monde. Et non, votre supérieur n’a pas subitement besoin d’un virement très urgent vers un compte inconnu.
• Eviter d’utiliser des clés USB externes à l’entreprise sur votre poste professionnel. Elles peuvent contenir des programmes malveillants et créer des portes d’entrée aux pirates.

Sur ce sujet, retrouvez notre article : sécurité en entreprise, 6 conseils simples à appliquer

Le temps où les entreprises ne se sentaient pas concernées par le sujet de la cybersécurité est révolu. Reste que cette lutte est conditionnée par la formation et le recrutement des meilleurs spécialistes. Ces “gentils hackers” que l’on appelle les “white hats” Outre-Atlantique et qui sont à même de nous protéger face à tous les cyber-risques : cyberbraquages, cyberespionnage, cyberterrorisme, etc.

Avec plus de 144 milliards de mails échangés chaque jour et 30 gigaoctets de données publiées chaque seconde, alors que moins de la moitié de la population mondiale est considérée comme “connectée” pour le moment, le secteur de la cybersécurité a de (très) beaux jours devant lui.

Photo by WTTJ