QUESTIONS À… Mylène Jarossay, présidente du Cesin (Club des experts de la sécurité de l’information et du numérique)
Quels sont les grands chantiers de réflexion du Cesin ?
L’augmentation des vulnérabilités inhérentes aux solutions disponibles sur le marché est un sujet majeur de préoccupation. Les cycles de développement sont de plus en plus courts et le nombre de failles zero-day (vulnérabilités sur des logiciels ou des systèmes d’exploitation pour lesquelles aucun correctif n’a encore été publié) explose. En 2021, il a été multiplié par deux. Se pose dès lors une vraie question de responsabilité. En cas de vice, les éditeurs de logiciels n’ont de compte à rendre à personne. Face à eux, les entreprises n’ont pas vraiment les moyens de se défendre. En fait, lorsqu’elles achètent une solution, elles paient aussi le risque de casse. Cette situation n’est pas satisfaisante. Nous attendons beaucoup du Cyber Resilience Act qui est en train de se construire à l’échelle européenne.
Quid des « ransomwares » ?
La position du Cesin est ici des plus nettes : payer une rançon revient à payer un criminel. C’est pourquoi nous sommes opposés à la proposition du ministère de l’Économie et des Finances de créer un cadre réglementaire qui obligerait les assureurs à indemniser les entreprises victimes d‘attaques, lorsque celles-ci paient la rançon demandée. Il y aurait là, selon nous, une acceptation de fait et de droit de la pratique même de la rançon. Le Cesin est cependant bien conscient que certains dirigeants de PME-PMI, qui n’ont pas suffisamment anticipé le risque cyber, sont tentés de payer les rançons pour pouvoir récupérer l’accès à leurs données lorsque la pérennité de leur entreprise est en jeu. C’est pourquoi, à l’instar des obligations qu’a un dirigeant de PME-PMI pour la protection des biens matériels et des personnes, la protection des biens immatériels devrait être obligatoire. Le paiement des rançons ne serait alors plus un sujet.
Le risque cyber est-il aujourd’hui pleinement identifié par les entreprises ?
Il est pointé dans les comex comme un des premiers risques pour les entreprises. A fortiori dans un contexte géopolitique tendu qui fait nécessairement planer la question d’une cyberguerre impliquant les États. Mais nous devons également faire preuve d’une grande vigilance face aux attaques menées par des « insiders ». Les groupes malfaisants, les mafias cyber seront demain sans doute de plus en plus nombreux à acheter la complicité de personnes à l’intérieur même des entreprises et des organisations ciblées.
LIRE AUSSI :
La Ferme Digitale, au service de l’agriculture 2.0- Prise en charge du grand âge : les territoires ne sont pas égaux
- Pour le Haut Conseil pour le climat, la trajectoire actuelle n’est pas à la hauteur
- Le risque d’une nouvelle fracture sociale ?
- Créer des outils adaptés aux dyspraxiques
- 25 mai 2018
- Aujourd’hui, les ESH initient des projets de digitalisation
