Yves Reding, CEO, EBRC

Le Forum Economique Mondial de Davos 2019 a, comme chaque année, permis de mettre en lumière les tendances économiques globales, de poser les défis et les opportunités qui retiennent l’attention des leaders d’opinion actuels. Le Forum s’appuie également sur la publication d’indicateurs macroéconomiques et recueille le sentiment de ceux qui la dirigent. Ainsi, 29% des chefs d’entreprises (contre 5% en 2018) s’attendent à un ralentissement de la croissance ; un pessimisme qui s’explique par l’augmentation significative de certains risques parmi d’autres : le réchauffement climatique, les risques géopolitiques et en particulier l’augmentation des cybermenaces.

Ces tensions, au plus haut depuis les cinq dernières années, concernent les entreprises et les organisations de toute taille et de tous secteurs. Yves Reding, CEO d’EBRC (European Business Reliance Centre), perçoit également les inquiétudes de ces dirigeants qui constatent une augmentation exponentielle des cybermenaces sur les organisations.

La vision d’EBRC est d’être un centre d’excellence et de confiance au cœur de l’Europe en protection et gestion de l’information sensible. EBRC emploie 200 collaborateurs et réalise un CA de 76 millions d’euros. La société est par ailleurs entrée dans le capital de la société DIGORA, forte de 130 experts, basée en France et au Maroc, spécialiste dans la gestion des données et des bases de données.
Opérant sur ses Data Centres de niveau Tier IV, qui constitue le plus haut niveau de sécurité et de disponibilité, EBRC propose des services cloud de confiance, d’outsourcing IT et de conseil à une clientèle internationale particulièrement exigeante en termes de sécurité, d’intégrité et de disponibilité de l’information et de respect des règlementations pour les marchés de la Finance, de la Santé, des Opérateurs de Services Essentiels, des institutions internationales, de la défense et du spatial.

Entretien avec Yves Reding, CEO d’EBRC, l’occasion d’aborder les menaces actuelles rencontrées par les dirigeants et l’approche préconisée pour tendre vers la Cyber-Résilience et ainsi réduire les cybermenaces. 

Yves Reding, cette inquiétude des chefs d’entreprises face aux cyber-menaces n’est-elle pas exagérée ?

Sur les dix dernières années, les dirigeants d’entreprise ont ressenti les fluctuations macroéconomiques avec une sensibilité assez juste. C’est ce qui ressort de la publication des indicateurs du rapport présenté au World Economic Forum. Or aujourd’hui, leurs quatre préoccupations majeures sont relatives aux enjeux économiques exacerbés par des replis protectionnistes de plus en plus visibles, les contextes géopolitiques instables, le défi climatique et… effectivement, les cyber-risques. Chez EBRC, nos clients sont culturellement allergiques à toute prise de risque surtout dans le digital. Ces clients opèrent des transactions critiques ou des informations sensibles. Depuis 20 ans EBRC apporte des réponses à ce besoin de la protection et la gestion de l’information sensible, c’est sa mission et c’est une préoccupation majeure pour chacun d’entre nous…

Comment expliquez vous la situation actuelle, l’ampleur de la menace et les raisons à l’origine de l’augmentation des incidents de sécurité ?

Les menaces en termes de cyber-sécurité sont relativement étendues. Les plus courantes restent les logiciels malveillants (malwares), les attaques « Web Based ou Web Application » ou le phishing (hameçonnage sur le net). Les attaques par déni de service, qui visent à inonder les réseaux pour les rendre indisponibles sont en forte croissance et de plus en plus puissantes et sophistiquées. Les usurpations d’identité, les botnets (réseaux d’ordinateurs infectés par des logiciels malveillants), les atteintes à la sécurité des données et les fuites d’information connaissent une augmentation croissante. Celles-ci atteignent des dimensions encore inimaginables il y a quelques années. Nous allons de record en record. Les origines peuvent être liées à des cybercriminels, des Etats, des entreprises ou organisations, des cyber-terroristes, ….

Or la digitalisation en cours est exponentielle et les menaces suivent cette tendance. Le fond du problème est que la protection contre ces menaces progresse mais seulement de manière linéaire. L’écart entre des menaces qui croissent de manière exponentielle et les protections qui se développent de manière linéaire augmente et constitue un danger majeur pour la révolution digitale en cours.

La prise de conscience de l’ensemble de l’écosystème IT a-t-elle eu lieu ?

Le digital est un nouveau monde dans lequel les risques restent difficiles à appréhender pour l’humain. Dans le monde physique, les risques sont proches et visibles. L’Homme regarde instinctivement à gauche et à droite avant de traverser une route pour voir s’il ne risque pas d’être renversé par un véhicule. Dans le monde digital, ce réflexe est peu développé. Une attaque DDOS peut être lancée de l’autre côté de la planète et être silencieuse. Il est vital de procéder à une sensibilisation massive des utilisateurs du cyberespace, que ce soit dans le monde professionnel ou privé. La Commission Européenne a lancé plusieurs initiatives, dont la directive NIS, qui vise à construire un écosystème cyber-résilient en Europe, de protéger les Opérateurs de Services Essentiels, comme les fournisseurs d’énergie, le transport, les services de santé, les transactions financières, … contre les cyber-risques. Par ailleurs, l’agence de cyber-sécurité européenne, l’ENISA disposera de pouvoirs accrus. Elle organise déjà depuis plusieurs années des exercices de gestion de crise à l’échelle européenne, par rapport à des risques majeurs. EBRC avait participé en 2016 à l’exercice Cyber Europe dont l’objectif était de simuler des attaques massives et coordonnées sur les cloud providers en Europe.

Quels conseils pourriez-vous donner aux entreprises pour se préparer à faire face aux cyber-menaces ? par où commencer ?

Dans un environnement où les cyber-menaces sont de plus en plus nombreuses et sophistiquées, les stratégies de sécurité traditionnelles sont inadaptées. Désormais, la question n’est plus de savoir si une entreprise sera attaquée, mais quand cette attaque aura lieu et avec quelle violence. Les organisations doivent adopter une approche de la sécurité et de la continuité des activités basée sur la gestion et la mitigation du risque et non sur son élimination. Il s’agit de passer de la cybersécurité à la Cyber-Résilience. La Cyber-Résilience c’est, comme dans le monde physique, se doter d’un système immunitaire pour faire face aux menaces. Pour les organisations et les usagers du digital, en permanence, il faudra pouvoir identifier, protéger, détecter, répondre aux menaces, récupérer si on est touché, pour garantir la continuité de l’activité et rebondir.
La mise en place d’une culture de Cyber-Résilience passe par le Top Management. Il faut que la direction donne le « ton » et insuffle à l’entreprise les réflexes de base pour se protéger, ce qu’on appelle l’« hygiène numérique » et construise l’organisation, les processus pour se doter de ce système immunitaire permanent.

Des certifications existent, quelles sont celles qui vous paraissent indispensables pour évaluer un partenaire ou un fournisseur de son écosystème ?

Pour mettre en place la Cyber-Résilience dans une entreprise, les certifications sont un véritable gage de confiance. Les programmes de certifications forcent les entreprises dans des processus d’amélioration continue.
La Cyber-Résilience porte typiquement sur quatre normes internationales que sont :

  • ISO 27001 : gestion de la sécurité de l’information ;
  • ISO 22301 : gestion de la continuité d’activité ;
  • ISO 31000 : gestion du risque ;
  • ISO 22316 : sécurité et résilience.

Pour les sociétés de services ICT, il est important de se doter également de la certification ISO 20000, qui régule la gestion des services IT, selon les meilleures pratiques, dont les pratiques ITIL.

La protection des données à caractère personnel peut par exemple être garantie pour certains acteurs via la certification ISO 27018.
Des secteurs sensibles ont adopté des normes spécifiques comme la certification « Hébergeur de Données de Santé » (HDS). Cette norme requiert les certifications ISO 27001, ISO 20000 et ISO 27018.

Dans le domaine des certifications, chez EBRC nous avons volontairement, depuis de nombreuses années, intégré progressivement toutes ces normes et bonnes pratiques, afin d’anticiper les nouveaux besoins de nos clients et les menaces. Via le processus d’amélioration continue, il s’agit de créer une véritable culture de la Cyber-Résilience. Celle-ci doit faire partie des gènes de chacun et être intégrée dans tous les actes de l’organisation.
Par ailleurs, la Cyber-Résilience ne peut s’enrichir qu’à travers le partage d’expérience ou grâce à des équipes multidisciplinaires. Si les 400 clients d’EBRC sont issus de pays ou de métiers très divers, ils font face à des risques et des menaces similaires. Pour mieux servir nos clients, il nous revient également de participer à la création d’un écosystème de Cyber-Résilience à l’échelle européenne.

Seul, dans son pays, on ne peut y arriver. Nous devons favoriser l’émergence de mécanismes de lutte plus efficients à l’échelle du marché digital unique. A nous, spécialistes de la protection et de la gestion de l’information sensible, de montrer l’exemple. L’objectif est de garantir la confiance des clients et des stakeholders dans le cyberespace.