Plusieurs milliers d'experts sont attendus en Principauté à partir d'aujourd'hui, pour ce qui constitue « un événement unique au niveau européen », selon Eric Boulay, le directeur d'Accenture Security pour la France et le Benelux.
Après les grandes cyber-attaques de 2017 - Wannacry, NotPetya, la campagne présidentielle américaine - « il y a eu une vraie prise de conscience » dans les entreprises, estime-t-il.
Le responsable de la sécurité informatique d'une entreprise n'est plus seulement chargé de veiller sur la sécurité du système d'information de l'entreprise. Ses compétences s'étendent désormais bien au-delà, par exemple aux usines où les machines sont connectées et donc vulnérables.
Les PME pas assez sécurisées
« Les automatismes, les systèmes de commandes sont parfois assez anciens, utilisent des systèmes d'exploitation un peu anciens qui n'ont pas été "patchés" (mis à jour pour réparer des vulnérabilités) », explique Eric Boulay. « Les entreprises se sont réorganisées », et on en voit de plus en plus où c'est le directeur des opérations, voire le PDG lui-même, qui va s'intéresser aux travaux du responsable de sécurité informatique, souligne-t-il.
« La perception du risque reste très diffuse, tempère Bernard Ourghanlian, le directeur technique et sécurité de Microsoft France. Le risque peut souvent être très visible dans les mains du responsable de la sécurité informatique, moins visible au niveau du directeur informatique, et encore moins visible au conseil d'administration. »
L'Anssi, l'agence publique chargée de coordonner la défense informatique française, partage cette prudence. « Le niveau de maturité » sur les risques cyber augmente très vite chez les grandes entreprises, estime Guillaume Poupard, le directeur général de l'Anssi. « Maintenant, si on regarde au niveau d'acteurs plus petits, notamment des PME, le niveau de sécurité reste très insuffisant, regrette-t-il. La plupart des PME n'ont pas conscience que leur sécurité numérique n'est pas au niveau » et « les systèmes à destination des PME ne sont pas assez sécurisés ».
Règlementations contraignantes
Les pouvoirs publics ne ménagent pourtant pas leurs efforts pour améliorer la sécurité numérique générale, et bon nombre de réflexions à Monaco tourneront autour des moyens de s'adapter aux réglementations de plus en plus contraignantes.
« Il y avait déjà beaucoup de réglementations pour des secteurs comme les banques, maintenant c'est vrai pour toutes les entreprises », indique Eric Boulay.
Le Règlement européen sur la protection des données (RGPD) par exemple, entré en vigueur le 25 mai dernier, responsabilise beaucoup plus les entreprises en cas de vols de données personnelles. Il les oblige notamment à signaler ces vols à la Cnil et à ses équivalents.
De nombreux autres sujets seront abordés durant ces trois jours (lire par ailleurs), qui font des Assises de la sécurité un rendez-vous phare de la cyberdéfense.
commentaires