Les cyberattaques sont légion, elles touchent des millions de personnes, bloquent entreprises, institutions et villes. Décryptage.
Le 20 janvier 2022, la ville de Saint-Cloud était la cible d'une cyberattaque. Le 11 février dernier, 20Minutes révèle que la municipalité refusant de se plier à la demande de rançon, en représailles, les hackers ont diffusé des données. La veille, des millions de Portugais ont été privés d'Internet suite à une cyberattaque contre Vodafone. Il n'y a pas une semaine sans qu'une institution, une entreprise ne soit touchée par la cybercriminalité. Nous avons demandé à Philippe Trouchaud, expert en cybersécurité, de nous éclairer. Dans la lutte contre les cybercriminels, la formation et la collaboration intra-entreprises vont être clé. Philippe Trouchaud est Chief Technology Officer chez PwC France et Maghreb. Il est également auteur de La cybersécurité au-delà de la technologie, et de La cybersécurité face au défi de la confiance, parus aux éditions Odile Jacob.
Dans votre livre La Cybersécurité au-delà de la technologie paru en 2016, vous expliquiez que l’une des premières causes de cyberattaques était de source humaine. Six ans après, où en est-on ?
Philippe Trouchaud : L’erreur humaine est toujours une source de risque importante, mais les réponses ont changé. Il y a six ans, les organisations construisaient des murs et des barbelés pour se protéger des cyberattaques. Aujourd'hui, les entreprises ont considérablement progressé dans leur capacité à réagir. Elles ont développé une intelligence plus fine de la cybersécurité.
C’est ce que montre la dernière édition de l’enquête mondiale Global CEO Survey, que PwC conduit chaque année auprès de milliers de dirigeants dans le monde. Il y a six ans, ces derniers ne citaient pas les risques cyber parmi les principales menaces identifiées pour leur entreprise. Aujourd'hui, ils les considèrent comme la toute première menace, avant même la pandémie de Covid-19.
Cette prise de conscience des dirigeants a clairement eu lieu en France, 55% d'entre eux (vs 49% dans le monde) désignent les cyberrisques comme l'un des principaux risques à prendre en compte. Les investisseurs eux aussi ont bien pris la mesure du risque cyber. Ils demandent désormais des comptes aux dirigeants sur leur bonne gestion en matière de cybersécurité.
Si les dirigeants ont pris conscience de l’importance de s’armer contre les risques liés à la cybersécurité, ont-ils les moyens de le faire ?
En effet, les ressources manquent. Le nombre de professionnels sur le marché des services cyber augmente, mais reste insuffisant pour répondre à la demande des gouvernements et des entreprises.
Notre système éducatif est en train de s'adapter. Pour l'instant, les écoles de cybersécurité et les cursus universitaires spécialisés sont rares et il n'existe pas de MBA de cybersécurité. Les écoles d'ingénieurs, où il existe une vraie appétence pour la technologie, sont bien connues pour préparer aux métiers de la tech, mais moins à ceux de la cybersécurité. Il faut vraiment faire un effort de recherche pour identifier les bonnes formations.
Pourtant, les métiers cyber font partie des mieux payés. La rémunération des jeunes diplômés de l'Epita, école d’ingénieurs en intelligence informatique, est depuis deux ans identique au salaire d'entrée des polytechniciens. Les étudiants savent que tous les secteurs d'activité, en France comme à l'international, recherchent activement leur type de profil.
Malgré les salaires, la cybersécurité ne pâtit-elle toujours pas d'un certain manque d’attractivité ?
Face à la méconnaissance des métiers cyber, il reste beaucoup de travail de pédagogie à faire pour expliquer en quoi ils consistent, quelle est leur importance dans les organisations et surtout quel est leur sens, leur raison d'être.
Les développeurs, qui sont passés par là, sont aujourd’hui vus comme des créateurs qui conçoivent des logiciels. Les rôles dans la cybersécurité sont plus complexes à expliquer et à valoriser. On n'applaudit pas un train qui arrive à l'heure : en matière de cybersécurité, c'est la même chose. Si le travail est bien fait, l’organisation est bien protégée et il ne lui arrive rien.
Pour rendre les métiers cyber plus attractifs, les employeurs doivent raisonner en termes de défis, et non plus de projets. Ils doivent également offrir aux talents l’opportunité d’évoluer rapidement sur différents types de mission. Les profils cyber se lassent vite d’une tâche répétitive et ne sont pas forcément attachés à la marque employeur. Pour les garder, il faut les challenger et pourquoi pas leur permettre de s'épanouir dans des collaborations intra-entreprises.
Si je comprends bien, pour veiller à leurs intérêts et aussi pour retenir les talents, il faudrait que des entreprises concurrentes songent à faire travailler ensemble leurs équipes de cybersécurité ? Ce serait inédit…
En matière de cybersécurité, je suis convaincu que la concurrence entre entreprises est un non-sens. Elles ont tout intérêt à collaborer. Toute personne qui se penche sur le sujet de la cybersécurité comprend que se défendre tout seul est rarement une bonne idée. Je dirais même que cela ne marche jamais. Pour anticiper les menaces, les organisations ont besoin des autres. Les agences gouvernementales collaborent mieux avec les entreprises, et la collaboration inter-entreprises est de mieux en mieux perçue également.
On le constate par exemple aux États-Unis, ou dans des secteurs tels que l'aéronautique et la banque de détail. Quand une banque subit une cyberattaque, toutes les banques doivent s'en inquiéter. Si les entreprises d'un même secteur ne se concordent pas, un incident cyber peut pénaliser tout le monde. Tant que les menaces ne sont pas partagées, l’avantage reste à l’attaquant.
En France aussi, cette démarche commence à prendre. Le Campus cyber qui vient d’ouvrir ses portes à La Défense accueille tout un écosystème d'acteurs de la cybersécurité, dont PwC France et Maghreb, amenés à travailler ensemble. D'une certaine manière, la cybersécurité est un sport de vitesse. Or, si on avance seul, on ne progresse jamais assez vite.
Pour revenir à la question de l'attractivité des métiers cyber, la presse documente beaucoup les cyberattaques contre les organismes publics et les entreprises. Quel est l'impact de cette médiatisation sur le grand public ?
Telle qu’elle est pratiquée, la couverture médiatique des cyberattaques ne sensibilise pas forcément aux pratiques à adopter en matière de cybersécurité. En revanche, elle dégrade la confiance que le grand public a dans la technologie.
Le dernier baromètre numérique du Centre de Recherche pour l'Étude et l'Observation des Conditions de Vie (CREDOC) révèle que deux tiers des internautes interrogés n’ont plus confiance dans le numérique. Ainsi, des internautes peuvent décider de ne plus se connecter à leur banque à distance parce qu’ils entendent parler tous les jours du risque de se faire pirater.
Dans le secteur de la santé, des patients se détournent des systèmes numériques lorsqu’ils n’ont plus confiance. Les conséquences peuvent être négatives, par exemple pour certaines maladies chroniques, dont des outils numériques peuvent améliorer le suivi. Dans le cas de certaines pathologies, on estime que le diagnostic par une intelligence artificielle (IA) sera un million de fois plus précis que celui d'un radiologue.
La défiance envers le numérique s’accroît encore si l’on ajoute des considérations telles que le bilan carbone du digital, le refus des GAFA de payer des taxes, la peur de perdre son emploi à cause de l'IA... Après un siècle de discours progressiste de la part des penseurs et partis politiques, la tendance est en train de s'inverser. On voit s’esquisser une vraie rupture sociétale.
Participer à la conversation