Propos recueillis par Guillaume Depres, membre du comité éditorial et Olivier Girardet, Président de la commission de la sécurité à Cologny.
Après avoir terminé ses études d'ingénieur à Paris, Georges de Moura a travaillé au sein de plusieurs entreprises internationales au Moyen-Orient et aux Etats-Unis. En charge du département des Technologies de l'Information et de la Communication (ICT) et Directeur de la Sécurité des Systèmes de l'information, il a participé à des projets d'envergure liés à l'innovation technique et au déploiement de technologies adaptées au développement et à l'efficacité des activités de l'entreprise. Ces expériences professionnelles lui ont permis d'acquérir une vision globale des systèmes d'information et du traitement des données mais également des risques liés à ces nouvelles technologies.
Fort de ses expériences, il rejoint le World Economic Forum (WEF) en octobre 2018 en tant que Responsable des Solutions pour l'Industrie et Directeur adjoint du Centre pour la Cybersécurité. C'est dans ce rôle que Georges de Moura nous a ouvert ses portes pour une rencontre informelle afin de discuter de l'importance toujours grandissante des nouvelles technologies à notre époque et du rôle d'institutions comme le Forum pour les accompagner.
C'est à l'occasion de sa conférence annuelle en janvier 2018 à Davos que le World Economic Forum a annoncé la création du Centre pour la Cybersécurité. Basé à Cologny, le « Centre for Cybersecurity » (C4C) a pour objectif principal d'aider les gouvernements, les entreprises et les organisations à se protéger des attaques informatiques et aborder avec eux les défis qu'englobe la cybersécurité.
Cet objectif s'articule autour de trois domaines majeurs : l'élaboration d'un cadre réglementaire approprié et agile en matière de cyber gouvernance, accélérer la découverte de solutions pour lutter contre le cyber menaces et le renforcement d'une communauté d'experts pour le partage de connaissance.
D'après Monsieur de Moura, le Centre pour la Cybersécurité du Forum se positionne idéalement pour le bon développement de ce domaine en fournissant trois ponts nécessaires :
- Un pont d'impartialité : En vue de tous les enjeux géopolitiques de ce sujet, le Centre se veut être une instance indépendante et impartiale consacré à trouver des solutions globales aux challenges de la cybersécurité. Son siège à Cologny participe également à ce but et représente un emplacement stratégique dû à la position reconnue de la Suisse en tant que pays neutre et indépendant.
- Un pont entre Public et Privé : Le Forum est l'organisation internationale par excellence de la coopération publique-privée. La contribution du Centre réside surtout dans sa capacité à conceptualiser et structurer des solutions aux problèmes systématiques et globaux en mettant à profit sa plateforme multipartite.
- Un pont entre Politique et Opérationnel : Le Forum aspire à être une plateforme qui rapproche les niveaux des décisions politiques et réglementaires avec le niveau opérationnel.
Après une rapide expansion l'année passée en termes de staff et d'infrastructure, l'organisation compte se stabiliser cette année et avancer sur ses différents projets. En effet, le Centre travaille déjà sur plusieurs programmes comme par exemple la cyber résilience des écosystèmes industriels et nationaux (e.g. cybersécurité des réseaux électriques), le développement du capital humain, et l'amélioration de la gouvernance des entreprises, ce qui passe notamment par le perfectionnement des connaissances sur le sujet des membres des conseils d'administration et de direction.
D'ici 2020, quelque 25 Mds d'appareils seront connectés à Internet et le nombre de « smart cities » (ndr : villes intelligentes) devrait quadrupler d'ici 2025, avec des investissements significatifs dans les technologies innovantes. La quatrième révolution industrielle générera une digitalisation globale de toutes les industries et s'appuiera sur l'Internet des objets (IoT) partout, sur des pétaoctets de données et sur l'intelligence artificielle pour améliorer la qualité de vie des citoyens.
Cependant, les défis de la cyber-résilience et de la vie privée restent largement sous-estimés pour de nombreuses organisations, et les dirigeants des secteurs privés et publics devront les adresser autant dans le monde numérique que physique afin de mitiger les dommages potentiels et la perturbation des services essentiels.
Pour cette raison, les entreprises doivent pratiquer une cyber-hygiène solide, ce qui signifie avoir un inventaire détaillé de tous les actifs numériques ; mettre en place une stratégie de « patching » forte ; établir la sécurité dans le design même des produits ; appliquer une authentification forte pour les services en ligne et les applications mobiles qui accèdent à des informations sensibles ; encrypter les informations sensibles et utiliser des certificats signés pour les sites web ; gérer rigoureusement tous les droits (comptes) et appliquer le principe de moindre privilège.
En examinant les obstacles à l'adoption des meilleures pratiques en matière de cybersécurité, il est évident que les approches actuelles rendent difficile la mise en œuvre de meilleures pratiques complètes dans l'ensemble de l'environnement informatique des organisations. Deuxièmement, les outils et processus de sécurité sont souvent configurés une seule fois, au début, puis oubliés, de sorte qu'ils deviennent rapidement redondants dans un environnement de menaces en constante évolution. Les systèmes doivent être mis à jour en permanence pour suivre le flux d'activité de l'entreprise s'ils veulent protéger efficacement contre les vulnérabilités récemment découvertes. Troisièmement, bien que les entreprises disposent de nombreux outils pour automatiser les tâches de sécurité, ils ne peuvent souvent pas être utilisés de manière totalement automatisée.
Cela se traduit par des lacunes et des vulnérabilités, et finalement par l'incapacité de déployer une approche automatisée globale. Enfin, un autre défi majeur est le volume de travail pouvant être nécessaire dans le suivi des alertes de sécurité et des incidents impossibles à automatiser. Il est important de compter sur les humains pour s'acquitter de fonctions de sécurité, en particulier pour évaluer les implications plus stratégiques de ces alertes et incidents. La pénurie de talents en cybersécurité cependant, signifie que cette fonction manque souvent de ressources. Pour remédier à ces problèmes, les entreprises doivent envisager de sous-traiter certaines des tâches les plus avancées, les plus complexes et les plus onéreuses, à des prestataires de services spécialisés, en fonction de leur profil de risque, afin d'améliorer leur couverture et leurs accords sur le niveau de service.
Afin d'aider les entreprises dans cette démarche, le Centre pour la Cybersécurité fera d'ailleurs paraître prochainement un guide à l'attention des entrepreneurs et des décideurs pour une meilleure gouvernance et de meilleures pratiques en termes de cybersécurité. On y trouvera entre autres les 10 principes suivants, à l'adresse des chefs d'entreprises :
- Principe 1: Penser comme un chef d'entreprise.
- Principe 2: Favoriser les partenariats internes et externes.
- Principe 3: Fonder et mettre en pratique une cyber-hygiène solide.
- Principe 4: Protégez vos identités et les accès à vos ressources critiques.
- Principe 5: Protégez votre domaine de messagerie contre le phishing.
- Principe 6: Appliquer une approche de confiance zéro pour sécuriser votre chaîne logistique.
- Principe 7: Prévenir, surveiller et réagir aux cyber-menaces.
- Principe 8: Elaborer et mettre en pratique un plan global de gestion de crise.
- Principe 9: Construire un plan de reprise après sinistre robuste pour les cyberattaques.
- Principe 10: Créer une vraie culture de la cybersécurité dans l'entreprise.
Pour terminer cette interview, nous avons également voulu savoir ce que pensait un expert de la cybersécurité tel que Monsieur de Moura sur la blockchain et les crypto-monnaies. D'après lui, la technologie blockchain est un registre public distribué de petits blocs immuables qui a véritablement le potentiel d'améliorer la sécurité et de rendre plus difficile la corruption de données. En effet, il ne peut être contrôlé par une seule entité et ne présente pas un unique point de défaillance en raison de son architecture distribuée. En revanche, il s'agit d'une autre histoire concernant les crypto-monnaies qui ont connu de nombreux déboires ces dernières années, entre piratage, escroquerie et vol/perte de données…
Pour poursuivre votre lecture, nous vous proposons cet article sur la cybersécurité des PMEs.