Les récentes attaques de ransomware contre des entreprises européennes montrent que les cybermenaces sont inévitables ; les organisations doivent se préparer de manière proactive plutôt que de réagir après un incident.

Le 11 janvier 2025, une entreprise technologique néerlandaise spécialisée dans le traitement durable des déchets a été contrainte d’interrompre ses activités à la suite d’une attaque par ransomware du groupe BlackBasta, qui a crypté plus de 500 Go de données critiques. Le même jour, une entreprise manufacturière belge a subi une attaque similaire, perdant 600 Go d’informations sensibles. Ces incidents, bien qu’ils n’aient pas eu d’impact direct sur les données personnelles des utilisateurs, ont perturbé les chaînes d’approvisionnement et causé d’importants préjudices financiers et de réputation. Les cybercriminels ne s’attaquent pas seulement aux entreprises les plus en vue, mais aussi aux secteurs d’activité les plus importants. La question n’est plus de savoir si une organisation sera attaquée, mais quand, et si elle est préparée.

De nombreuses organisations restent exposées parce que la sécurité n’est pas pleinement intégrée dans leurs processus opérationnels, ce qui rend une stratégie proactive et globale essentielle pour une résilience à long terme.

La cybersécurité est une condition préalable à la continuité des activités et devrait être une priorité absolue dans la salle du conseil d’administration. Pourtant, de nombreuses entreprises restent vulnérables en raison du manque d’intégration de la sécurité dans leur structure organisationnelle et leurs processus d’entreprise. Souvent, les mesures ne sont prises qu’après un incident ou sous la pression de la réglementation. En revanche, les organisations qui adoptent une approche proactive et holistique connaissent moins de défaillances en matière de sécurité. Cet article examine l’importance d’une stratégie de cybersécurité intégrée, les lacunes courantes et la manière dont les entreprises peuvent renforcer leur résilience à long terme. Dans une série d’articles complémentaires, nous définirons des stratégies claires à mettre en œuvre et des mesures pratiques à prendre pour jeter les bases de la résilience et de la sécurité de l’information dans les organisations.

Exemple d’occasion manquée : violation de données due à l’absence d’une vision intégrée La violation d’Equifax en 2017 montre que des correctifs techniques isolés - sans gestion intégrée des correctifs, sans analyse des risques et sans propriété claire - peuvent entraîner des dommages financiers et de réputation considérables.

Un exemple notable des risques liés à la sécurité ad hoc est la violation de données d’Equifax en 2017. Cette agence américaine d’évaluation du crédit a exposé les données personnelles de millions de clients parce qu’elle n’a pas corrigé à temps une vulnérabilité logicielle connue. Malgré la mise en place de défenses technologiques telles que des pare-feu et des systèmes de détection d’intrusion, une enquête a révélé que la gestion des correctifs et l’analyse des risques n’étaient pas correctement intégrées dans les processus d’entreprise. L’organisation n’avait pas de visibilité sur l’emplacement des systèmes vulnérables et les responsabilités n’étaient pas clairement établies.

L’incident a montré que l’application de quelques solutions techniques distinctes n’offre aucune garantie s’il n’y a pas de politique intégrée. Le manque d’appropriation, la mauvaise communication entre les départements et la visibilité insuffisante des données critiques ont tous contribué à l’impact de cette violation de données. Le coût pour Equifax s’est élevé à des centaines de millions de dollars et l’atteinte à la réputation a été énorme.

La réflexion holistique sur la sécurité : plus que de la technologie

Une cybersécurité efficace va au-delà de la technologie et nécessite une sensibilisation humaine permanente, une assurance basée sur les processus et une gouvernance solide afin d’intégrer la sécurité dans toutes les facettes de l’organisation.

Ce qu’il faut retenir de ces incidents, c’est que la cybersécurité ne se résume pas à des outils techniques tels que les logiciels antivirus, les pare-feu ou un test de pénétration ponctuel. Bien que ces technologies soient précieuses, elles doivent être intégrées dans un système où les personnes, les processus et les politiques sont alignés de manière transparente.

  • Le facteur humain. De nombreux incidents de sécurité résultent d’une erreur humaine - un clic inattentif sur un lien d’hameçonnage, une mauvaise configuration du nuage ou un accès non autorisé à des comptes. La sensibilisation et la formation continue sont donc indispensables. Cela va au-delà d’un programme de sensibilisation ponctuel ; il faut une culture dans laquelle les employés osent signaler les incidents et les quasi-incidents, sans crainte de sanctions.
  • Assurance basée sur les processus. La sécurité doit être un point récurrent de l’ordre du jour : du développement des produits et de la sélection des fournisseurs à l’utilisation quotidienne des systèmes. Par exemple, intégrer la gestion des risques dans les processus de changement afin qu’il ne s’agisse pas d’une question à régler “après coup”.
  • Gouvernance et appropriation. En l’absence de responsabilités claires et d’une répartition précise des tâches, la cybersécurité reste souvent au stade des bonnes intentions. Il convient donc de nommer un RSSI ou un responsable de la sécurité doté d’un mandat et d’une structure hiérarchique clairs. Cela permet de s’assurer que les risques et les incidents sont pris en compte par le conseil d’administration.

L’intégration de ces éléments dans un cadre unifié garantit que la sécurité n’est pas une réflexion après coup, mais une composante essentielle de la stratégie et des opérations.

Le rôle des lois et règlements Des cadres évolutifs tels que la loi européenne sur la cybersécurité, la loi sur la cyberrésilience et le NIS2 imposent des obligations et des orientations plus strictes, soulignant que les organisations doivent aller au-delà de la simple conformité pour répondre à des attentes plus élevées en matière de sécurité.

En Europe, l’attention juridique portée à la sécurité numérique s’accroît considérablement. Quelques développements importants :

  • Loi européenne sur la cybersécurité. Ce règlement a introduit un cadre européen pour la certification des produits et services TIC. Les organisations peuvent faire évaluer la sécurité de leurs solutions, ce qui crée un marché plus transparent.
  • Loi sur la cyber-résilience. Cette loi consacre le principe de la “sécurité dès la conception” tout au long du cycle de vie du matériel et des logiciels. Les fabricants et les fournisseurs restent tenus de corriger les vulnérabilités et d’en informer les utilisateurs.
  • NIS2 (directive sur la sécurité des réseaux et de l’information). La directive NIS renforcée étend le champ d’application à davantage de secteurs (notamment le secteur de l’énergie, les soins de santé, les transports et les services numériques critiques) et fixe des exigences plus élevées en matière de notification des incidents et de responsabilité administrative, entre autres.
  • Loi européenne sur l’IA. La loi européenne sur l’IA établit un cadre global de réglementation de l’intelligence artificielle en fixant des normes de transparence, de responsabilité et de gestion des risques. Elle garantit que les systèmes d’IA sont développés et déployés en tenant compte des risques, de manière sûre, éthique et fiable, et sert de pont crucial entre les mesures traditionnelles de cybersécurité et les défis émergents spécifiques à l’IA, en mettant l’accent sur la gouvernance et l’intégrité des données.

Ces règlements imposent des obligations supplémentaires aux organisations tout en offrant des orientations plus claires. Toutefois, les entreprises qui se contentent de respecter les listes de contrôle réglementaires constateront que la barre des attentes en matière de sécurité ne cesse de s’élever.

IA et données : la prochaine vague de risques

L’IA pose de nouveaux défis - des attaques adverses et de l’empoisonnement des modèles aux atteintes à la vie privée et aux préjugés - qui doivent être gérés par des mesures de sécurité intégrées qui s’alignent sur les stratégies organisationnelles globales.

L’intelligence artificielle (IA) révolutionne les industries, mais elle introduit également de nouveaux défis en matière de cybersécurité que les organisations ne peuvent se permettre d’ignorer. Les systèmes alimentés par l’IA traitent de grandes quantités de données sensibles, prennent des décisions critiques et automatisent des processus complexes, ce qui en fait des cibles attrayantes pour les cybercriminels. Sans une gouvernance et des mesures de sécurité solides, l’IA peut devenir à la fois une cible et une arme dans la cyberguerre.

Les biais dans l’IA : une question de sécurité et de gouvernance

Si la partialité de l’IA est souvent discutée dans des contextes éthiques et sociaux, elle constitue également un risque pour la sécurité et la gouvernance. Une prise de décision erronée en matière d’IA peut introduire des vulnérabilités cachées, notamment :

  • Échecs de la détection des fraudes - Si les modèles d’IA utilisés pour la prévention des fraudes favorisent certains schémas et en négligent d’autres, les cybercriminels peuvent exploiter les biais pour échapper à la détection.
  • Mauvaise classification des menaces de sécurité - Les outils de détection des menaces alimentés par l’IA et formés sur des ensembles de données biaisés peuvent ne pas reconnaître les nouvelles cybermenaces, ce qui les rend inefficaces face à l’évolution des attaques.
  • Risques liés à la réglementation et à la conformité - La montée en puissance de la loi européenne sur l’IA et d’autres réglementations mondiales signifie que les entreprises qui déploient l’IA doivent garantir la transparence, la responsabilité et la conformité en matière de sécurité. Les organisations qui ne gouvernent pas et n’auditent pas correctement leurs modèles d’IA risquent de se voir infliger des amendes, de voir leur réputation entachée ou d’engager leur responsabilité juridique.

L’IA, un risque pour la sécurité

La fiabilité des modèles d’intelligence artificielle (IA) dépend des données sur lesquelles ils sont formés. Lorsque des ensembles de données de reconnaissance faciale sont constitués principalement d’images de certains groupes de population, cela peut conduire à un modèle qui reconnaît difficilement d’autres groupes. Cette situation n’est pas seulement préjudiciable aux personnes lésées, mais peut également nuire à la réputation et avoir des conséquences juridiques pour l’organisation qui utilise l’IA.

  • Deepfakes. Des modèles d’IA avancés peuvent générer des vidéos, des sons et des images réalistes, qui donnent l’impression que des personnes disent ou font des choses qui ne se sont jamais produites. Ce phénomène peut être utilisé à des fins de fraude, de chantage ou de désinformation à des fins politiques. Les organisations devraient investir dans des outils de détection et dans la formation des employés pour les sensibiliser à l’identification précoce des contenus “deepfake”.
  • Attaques adverses. Les attaquants introduisent des données manipulées dans les modèles d’IA pour les tromper. Par exemple, de petites perturbations dans une image peuvent amener un système de surveillance alimenté par l’IA à mal identifier des menaces. Ces types d’attaques nécessitent des contrôles supplémentaires des données d’entrée et une validation périodique du modèle.
  • Empoisonnement des modèles. Les cybercriminels injectent des données malveillantes dans les ensembles d’apprentissage de l’IA, corrompant les algorithmes et conduisant à des résultats peu fiables ou dangereux.
  • Protection de la vie privée et violations de données. De nombreux modèles d’IA s’appuient sur de grandes quantités de données personnelles et professionnelles sensibles. Si celles-ci sont insuffisamment anonymisées ou stockées de manière incorrecte, un piratage ou une mauvaise configuration peut entraîner de graves violations de la vie privée. L’accent est donc mis sur la classification des données, le contrôle d’accès strict et le chiffrement.
  • Les cyberattaques alimentées par l’IA. Les pirates utilisent de plus en plus l’IA pour automatiser les attaques, identifier plus rapidement les vulnérabilités et contourner les mesures de sécurité traditionnelles. Des campagnes de phishing pilotées par l’IA, des fraudes basées sur des deepfakes et des outils de test de pénétration automatisés sont déjà utilisés dans la nature.

Intégrer la sécurité de l’IA dans les stratégies holistiques de cybersécurité Pour sécuriser les systèmes pilotés par l’IA, les organisations doivent intégrer la sécurité de l’IA dans leur cadre plus large de cybersécurité et de gouvernance :

  • Gouvernance de l’IA fondée sur le risque. Les modèles d’IA doivent être surveillés en permanence pour détecter les biais, les failles de sécurité et les vulnérabilités adverses.
  • Protection des données et contrôles d’accès. Les systèmes d’IA devraient être construits avec un cryptage fort, une anonymisation des données et des contrôles d’accès stricts basés sur les rôles.
  • Tests de cybersécurité spécifiques à l’IA. Réaliser des simulations d’attaques adverses, des équipes d’intervention et des audits réguliers pour s’assurer que les mécanismes de sécurité de l’IA sont résilients.
  • Équipes interfonctionnelles de sécurité de l’IA. La sécurité de l’IA ne doit pas être laissée au seul service informatique. Les équipes juridiques, de conformité, de sécurité et d’ingénierie doivent travailler ensemble pour gouverner les modèles d’IA et appliquer les meilleures pratiques de sécurité.

Une solide structure de gouvernance des données est donc essentielle : définissez quelles données vous collectez, où elles sont stockées, qui y a accès et quelles sont les mesures de sécurité nécessaires. Les organisations qui mettent en œuvre l’IA sans adapter leur cadre de sécurité risquent de s’exposer à de nouveaux vecteurs d’attaque. La législation, telle que la (future) loi sur l’IA, exige également la transparence, l’explicabilité et la documentation des systèmes d’IA. Une vision holistique de la sécurité n’est pas un luxe, mais une nécessité impérieuse.

Tirer les leçons des secteurs hautement réglementés Des secteurs tels que l’aviation et l’industrie pharmaceutique illustrent la manière dont des processus rigoureux, contrôlés en permanence et des listes de contrôle exhaustives permettent d’obtenir une sécurité et une fiabilité supérieures, servant ainsi de modèles précieux pour d’autres secteurs.

Dans les secteurs où la sécurité est littéralement d’une importance vitale - tels que l’aviation et l’industrie pharmaceutique - une approche intégrée est au cœur des préoccupations depuis des décennies.

  • Aviation. Des listes de contrôle avant le vol aux rapports d’incidents, chaque étape est consignée dans une procédure. Ici, les listes de contrôle ne sont pas seulement des listes formelles, mais des instruments qui rendent les étapes cruciales visibles et vérifiables. Les erreurs sont détectées rapidement et peuvent être traitées de manière systématique.
  • La pharmacie. Dans le secteur pharmaceutique, il existe des exigences strictes en matière de validation des équipements et des processus (“Quality by Design”). Chaque maillon de la chaîne (de la recherche à la production) est documenté et contrôlé. Cela permet d’instaurer une culture dans laquelle l’amélioration continue et l’analyse approfondie des risques vont de soi.

Ces secteurs montrent qu’une réglementation stricte et des listes de contrôle ne sont pas, par définition, obstructives. Au contraire, si elles sont utilisées correctement, elles contribuent à minimiser les risques et à détecter les erreurs à un stade précoce. L’essentiel est que les gens travaillent réellement dans la pratique et en tirent des enseignements, au lieu de se contenter de se conformer “officiellement” aux règles. Ce principe, qui consiste à intégrer la sécurité à tous les niveaux de l’organisation, peut également s’appliquer à la sécurité informatique et à la sécurité de l’information.

De la conformité à la sécurité intrinsèque Le passage de la conformité réglementaire de base à une culture de la sécurité intrinsèque nécessite un engagement fort de la part de la direction, des approches fondées sur les risques, une utilisation efficace des listes de contrôle, l’élimination des silos et une amélioration continue.

Comment passer de la “conformité minimale” à une culture de sécurité intrinsèque ? Quelques points d’attention :

  1. Engagement de la direction. Si la direction considère la sécurité principalement comme un élément de coût ou une condition préalable, les employés le vivront de cette manière. Ce n’est que lorsque la direction indique clairement que la sécurité est une priorité stratégique et qu’elle libère des ressources (budget, personnel, temps) à cet effet que l’organisation a la possibilité de prendre des mesures concrètes.
  2. Travailler en fonction des risques. Commencez par vous poser la question suivante : “Où sont nos véritables joyaux de la couronne ?” Concentrez la sécurité sur les données, les processus et les systèmes qui causent les plus grands dommages en cas de perte ou d’utilisation abusive. Vous éviterez ainsi d’investir sans discernement dans des solutions “aléatoires”.
  3. Utiliser correctement les listes de contrôle. Des normes comme ISO 27001, la série ETSI TR 103 305 et des cadres comme le NIST CSF fournissent une structure solide et permettent de ne rien oublier d’important. L’essentiel est que vous compreniez pourquoi vous cochez certains points et comment cela rend votre organisation plus sûre. Considérez les listes de contrôle comme un outil et non comme une fin en soi.
  4. Éliminer les silos. La cybersécurité va au-delà de l’informatique et nécessite une approche transversale. Les aspects juridiques (contrats, conformité), les RH (procédures d’embauche, formation), les installations (sécurité physique) et les achats (gestion des fournisseurs) jouent tous un rôle. Mettez en place un groupe de travail multidisciplinaire ou un groupe de pilotage qui sera largement responsable de l’approche intégrée.
  5. Amélioration continue. La cybersécurité n’est jamais “terminée”. Créez un cycle fixe de surveillance, d’évaluation, d’établissement de rapports et d’ajustement. Effectuez des analyses d’incidents et de tendances afin d’identifier des modèles. Un cycle structuré Planifier-Faire-Vérifier-Agir (PDCA) s’aligne sur les méthodes d’assurance qualité, aidant les organisations à garder une longueur d’avance sur les menaces émergentes et les changements réglementaires.

Conclusion : la voie à suivre Une stratégie holistique de cybersécurité, traitée comme un processus d’amélioration continue, est essentielle pour réduire les risques et assurer la résilience de l’organisation, transformant ainsi la sécurité en un véritable facteur de réussite.

De nombreuses organisations ont l’intention d’améliorer leur sécurité, mais ont du mal à la traduire dans la pratique quotidienne. En cas d’incidents - comme la violation de données d’Equifax et les exemples néerlandais et belge mentionnés dans le premier paragraphe, ou d’autres nombreuses attaques par ransomware, phishing, déni de service et autres - nous constatons toujours qu’une ou plusieurs facettes cruciales manquaient : l’appropriation, la connaissance des données précieuses, la discipline des processus ou la sensibilisation des employés.

Entre-temps, la pression augmente du fait des lois et des règlements, mais aussi de la part des clients et des partenaires de coopération qui exigent que la confidentialité et la continuité soient garanties. Mais il y a aussi un côté positif : ceux qui optent pour une approche intégrée et investissent dans les personnes, les processus et la technologie constateront qu’il est plus facile de satisfaire aux exigences de conformité. En outre, vous bénéficiez d’une plus grande fiabilité et d’une meilleure image.

La “cybersécurité holistique” peut être considérée comme un processus d’amélioration continue, dans lequel vous apprenez continuellement des erreurs, des nouvelles menaces et des connaissances sectorielles. En examinant les leçons tirées, par exemple, de l’aviation et de la pharmacie, ou les risques supplémentaires introduits par l’IA, vous pouvez renforcer la colonne vertébrale de votre propre organisation. Vous éviterez ainsi que la sécurité ne soit qu’une question à régler “après coup” ou “sur le papier”, et vous en ferez un véritable facteur de réussite.