A quoi ressemblera le paysage de la cybersécurité post COVID ?

Matthieu Bennasar, Directeur des Opérations de Harmonie Technologie, cabinet de conseil spécialiste en cybersécurité, livre les tendances basées sur les retours d’expérience de ces derniers mois.

Les enseignements à tirer de la crise sanitaire

Le confinement a été une transformation numérique à part entière pour les entreprises, à marche forcée :

  • d’une part, en à peine quelques jours, la mise en place du télétravail massif pour le secteur tertiaire a forcé la relation de confiance entre employeur et employé ;
  • d’autre part, pour la première fois à cette échelle, les outils collaboratifs se sont imposés en une nuit.

Et dans un contexte inattendu d’augmentation des cyberattaques, la prise de conscience des enjeux de cybersécurité a été violente pour ceux qui ont eu à gérer une cyber-crise dans la crise sanitaire. Conséquence, si les budgets SI sont sérieusement en berne (-20% selon nos estimations), ceux de la cybersécurité se tassent mais dans des proportions bien moindres, et certains sont même maintenus.

Post-Covid, quelles sont perspectives pour la cybersécurité ?

Post COVID, une accélération des tendances de fond déjà amorcées et quelques nouvelles préoccupations se concrétisent. En voici les 3 tendances principales.

Tendance n°1 : la cloudification va encore s’accélérer

Le confinement a amené de sérieuses contraintes sur les infrastructures réseaux et télécoms des foyers et des communautés. Pensez à près de 8 millions de salariés du privé en télétravail ! Ce test de charge grandeur nature a validé le bon dimensionnement de ces infrastructures. L’usage des outils collaboratifs s’est généralisé (« Les hommes ne voient la nécessité que dans la crise » disait Jean Monnet). Le mouvement de cloudification va encore s’accélérer. Avec lui, les mesures de protection spécifiques aux enjeux de cyber-sécurité vont générer de nouveaux projets ou faire de nouveaux projets avec de vieilles problématiques : micro-segmentation, gestion des identités et des accès, surveillance et détection, analyse comportementale des usagers, chiffrement, etc.

Tendance n°2 : une crise ne sera plus une excuse pour diminuer les exigences de cybersécurité

Ceux qui ont accepté une forte dégradation des fonctions de cybersécurité pendant la crise s’en sont parfois mordus les doigts face l’explosion des attaques ciblées. La situation vécue a fait la démonstration qu’établir des processus de cybersécurité résilient aux temps de crise n’est pas une option. Faute de l’avoir fait, certaines entreprises se sont retrouvées démunies face à une situation de suraccident : la crise dans la crise, quand les attaques cyber se sont ajoutées à la crise sanitaire. C’est pourtant une exigence à laquelle l’ISO 27002 consacre un chapitre entier (17), chapitre souvent mal compris : on pense qu’il s’agit d’exiger des mesures de continuité d’activité et du SI quand en réalité, l’essentiel exprimé est qu’être en crise ne justifie pas de baisser la garde des mesures de cybersécurité.

Tendance n°3 : l’élargissement massif du télétravail fait émerger de nouveaux enjeux de sécurité

Face à la vague de fond de la généralisation du télétravail (6 employés sur 10 voudraient poursuivre le télétravail), les RSSI vont devoir faire face à 2 nouvelles problématiques : techniques d’une part (sécurisation des outils collaboratifs, maîtrise des outils collaboratifs non autorisés (comme on l’a vu dans le débat autour de Zoom), contrôle et détection de la fuite de données…) ; organisationnelle d’autre part (accès aux outils de travail par des proches, information plus difficile à protéger dans le cadre familial, protection physique des actifs dans un cadre privé, etc.).

Les grandes entreprises se préparent régulièrement à la gestion de crise et notamment à affronter une pandémie

Depuis plus de 10 ans, nous simulons des exercices de gestion de crise pour nos clients : la pandémie est l’un des 50 scénarios que nous jouons. L’exercice le plus récent que nous avons réalisé avec un scénario de pandémie date du mois de novembre. Nous avons entraîné le Comité de Direction d’un client bancaire avec un scénario très proche de la crise sanitaire que nous venons de traverser. Le 16 mars, ils étaient sereins ! En observant nos clients gérer cette crise sanitaire, nous avons encore une fois constaté combien une crise agit comme révélateur de la culture, des valeurs et de la dynamique d’une entreprise. Il y a eu des couacs, de vraies frayeurs mais, au final, peu de casse visible pour l’instant. Donc, oui, on peut dire que le niveau de préparation était satisfaisant chez nos clients. Passé le temps de la gestion urgente de la crise sanitaire pour lequel nos clients sont relativement bien préparés, nous entrons maintenant dans le temps long de la crise économique et sociale. Et là, les impacts s’annoncent forts.