L’an dernier, la cybercriminalité a connu une vague de recrudescence en Belgique. Jan De Blauwe, Chairman de la Cyber Security Coalition, analyse la situation.
Texte : Philippe Van Lil
Quel est l’état de la cybersécurité en Belgique ?
« Les enjeux actuels de la sécurité concernent en premier lieu les tierces parties auxquelles les sociétés font appel pour toute une série de services. Elles s’exposent ainsi à des menaces telles que des attaques ou des infections. C’est par exemple le cas lorsqu’un logiciel comptable d’une société externe est hébergé dans un environnement cloud. »
« Si cette application n’est pas correctement protégée, cela peut provoquer des problèmes comme une fuite de données sensibles ou une non-disponibilité de l’application alors qu’on en a besoin. Dans le monde digital, il est important de mesurer le risque lorsqu’on fait appel à un tiers, tout d’abord en connaissant bien celui-ci. »
Quelle est l’ampleur des attaques cybercriminelles ?
« Les fraudes sont en augmentation. Selon Febelfin, le nombre de cas d’hameçonnage dans le seul secteur des banques a triplé de 2017 à 2018 pour atteindre près de 10.000. Ce chiffre ne représente toutefois qu’une partie de la réalité ; beaucoup d’attaques ne sont pas connues, du fait notamment que certaines personnes sont parfois gênées de rapporter des incidents, préfèrent payer une rançon et ne pas relater l’événement. »
« Il faut également tenir compte des logiciels rançonneurs – les ransomware -, qui impacte l’activité des entreprises ou des autorités. L’intrusion des systèmes informatiques provoque soit des dégâts soit des vols de données sensibles telles que des secrets industriels. Chaque jour en Belgique, des particuliers tombent dans divers pièges et perdent des sommes situées entre 3.000 et 8.000 euros. »
« Pour les organisations, les montants de ransomware peuvent être considérablement plus élevés. De plus, il y a des périodes plus intenses dans lesquelles les fraudeurs se concentrent spécifiquement sur le marché belge. »
Selon Febelfin, le nombre de cas d’hameçonnage dans le seul secteur bancaire a triplé de 2017 à 2018, passant de 3.205 à 9.747.
Pourtant la recommandation est de ne jamais payer…
« Bien sûr. De plus, il existe à présent un mécanisme et une obligation pour les fournisseurs de services essentiels d’informer le gouvernement si un incident majeur intervient. Mais cela ne concerne qu’eux ; toutes les autres sociétés ont la liberté de choisir d’informer ou non le gouvernement. En cas de fuite de données personnelles le GDPR exige que la Data Privacy Authority soit informée. »
L’entrée en vigueur du GDPR a-t-elle permis de sensibiliser les entreprises aux risques encourus ?
« L’arrivée du GDPR a clairement mené à une sensibilisation à ce sujet. Sa mise en œuvre s’articule autour de plusieurs axes, dont certains sont relativement faciles à mettre en place. Je songe ici en particulier au fait de s’assurer qu’il y ait, au sein des entreprises et organisations, un Data Privacy Officer, soit une personne responsable de cette matière. »
« Autre axe du GDPR : le respect de certains droits, désormais bien plus explicites, comme celui d’un client de pouvoir demander une copie des données captées par une société à son sujet. Dans le domaine de la protection des données, il y a aussi des exigences qui dépassent le cadre du GDPR. Quoiqu’il en soit, le GDPR indique une série de bonnes pratiques relatives à la cybersécurité. »
En 2018, les cyber-intrusions ont représenté une perte de quelque 4,5 milliards d’euros, soit environ 1 % du PIB.
Les entreprises doivent néanmoins rester vigilantes …
« Chaque entité doit effectivement déterminer les risques les plus importants en fonction de son profil d’activité. La cybersécurité est un domaine en forte et constante évolution ; les adaptations doivent donc être continues. Le top management de chaque entreprise doit en être conscient, notamment en donnant de façon permanente les moyens et le temps suffisants au responsable de la sécurité. Il faut bien comprendre que la sécurité informatique n’est pas un sujet temporaire. Il faut dès lors la traiter de manière structurée en établissant un plan d’action spécifique à l’entreprise et en effectuant un monitoring adéquat pour éviter les incidents. »
Pour les entreprises, est-il facile de trouver des personnes compétentes en matière de cybersécurité ?
« Non, en raison essentiellement d’un manque de formations adéquates. Il y en a bien quelques-unes mais nous sommes plutôt dans une situation émergente en termes de formations, qu’elles soient universitaires ou autres. Beaucoup d’experts ont été formés dans des domaines proches, comme l’IT ou les sciences informatiques, et ont appris sur le tas. »
« Au final, les sociétés acceptent de recruter des personnes disposant de moins d’expérience en cybersécurité mais qui se forment sur place en interne. Le problème n’est d’ailleurs pas spécifique à la Belgique. Selon un rapport récent d’Ernst & Young, on compte quelque 4 millions de postes vacants en cybersécurité dans le monde, dont 300 000 en Europe. »