Wavestone Cybersécurité – Rétrospective de l’année passée

Cybersécurité et confiance numérique

Publié le

Les fêtes de fin d’année passées, c’est désormais l’heure des vœux et des bonnes résolutions. Pour ce faire, quoi de mieux que de jeter un œil dans le rétroviseur pour attaquer cette nouvelle année ? Ce court billet de blog vous propose une rétrospective sur 2018 avec quelques-unes de nos plus belles réalisations.

 

2018, L’année du RGPD

L’entrée en vigueur du RGPD le 25 mai 2018 a été au cœur des débats et a été davantage propulsé sous le feu des projecteurs avec le scandale Cambridge Analytica. Vous avez été plus de 4 000 lecteurs à suivre nos séries sur les idées reçues du RGPD (Volume 1, 2 et 3) et sur la protection des données personnelles, notamment notre benchmark GDPR « au lendemain du RGPD, où en est le marché ? ». Fortement impliqué dans ces problématiques de confiance dans le numérique, nous avons notamment animé une conférence lors de l’Annual Privacy Forum à Madrid le 14 juin, sur le thème : « How to carry out one of the key principles of accountability ?». Nous avons également organisé notre annuel « Cybersecurity and Privacy Insight Day » qui a réuni plus de 80 de nos clients dans nos locaux le 28 novembre, journée durant laquelle le sujet a été aussi prépondérant : 1/3 de nos ateliers traitaient du sujet. Ce sujet restera important pour l’année qui vient avec les poursuite des travaux engagés et le passage au RUN pour certaines activités. Un bilan de la mise en application du règlement est à venir.

 

La directive NIS et la notion de résilience

La Directive NIS, qui arrive dans le prolongement du dispositif de cybersécurité des opérateurs d’importance vitale (OIV), a également été un sujet prédominant en 2018. En effet, la date butoir pour sa transposition dans le droit Français était fixée au 9 mai 2018. Nous avons analysé celle-ci pour vous dans l’article « Directive européenne NIS : quelle transposition dans le droit français et quel impact pour les entreprises ? ». Plus globalement, la résilience aura été un enjeu majeur de 2018, notamment suite aux attaques de 2017 (WannaCry, NotPetya) et à leur médiatisation. Vous avez été nombreux à assister à notre présentation à ce sujet lors de l’édition 2018 du FIC. Afin de vous illustrer au mieux les impacts de cette attaque et la réalité de la gestion de crise qui en découle, nous avons choisi de vous raconter l’expérience de nos équipes CERT (équipes de réponse à incident) chez nos clients. Nous ne nous sommes pas arrêtés à ce travail de sensibilisation et nous avons par la suite travailler en collaboration avec l’Institut Montaigne (en tant que rapporteurs) pour réaliser une étude dimensionnante sur la cyberrésilience du tissu économique Français. Pour ce, nous avons imaginé la France face à un cyberouragan, scénario qui peut paraître lointain, aux premiers abords. Cette étude a donné lieu à 13 recommandations pour faire face à un tel ouragan. Un maître mot : la solidarité.

 

L’innovation et les start-ups

Comme chaque année, nous avons publié notre radar des Start-ups Cybersécurité en France, cette fois à l’occasion du salon Vivatech 2018. Cette initiative a mis en lumière les spécificités du panorama français et propose des axes d’amélioration pour booster l’écosystème français. Ce radar a également été décliné au Royaume-Uni, qui présente un environnement prospère à l’innovation et à l’entreprenariat, et le sera en 2019 aux Etats-Unis, en collaboration avec la mairie de New York. Notre implication dans l’innovation cyber ne s’arrête pas là. Nous avons également organisé,  en partenariat avec Société Générale, les « Banking CyberSecurity Innovation Awards » (BCSIA). Ce concours vise à mettre en avant et de récompenser les start-ups qui construisent la cybersécurité de la banque demain. Cette édition a mis en lumière une véritable richesse technologique, ce qui est prometteur pour l’édition 2019 qui débute dès le 1er février.

La sécurité des systèmes industriels

Avec l’apparition de Triton, les attaques sur les infrastructures industrielles ont passé un nouveau cap. Il s’agit en effet de la première véritable attaque cyber sur les SIS (systèmes instrumentés de sécurité), autrement dit sur la dernière barrière de défense des systèmes industriels. Le sujet est porté par les travaux autour de la Loi de Programmation Militaire (LPM) qui positionne les SI Industriels comme des systèmes critiques et les soumettra à des obligations en matière de cybersécurité. Nous en avons profité pour vous exposer notre vision sur la démarche d’homologation à mettre en œuvre dans notre article « l’homologation de sécurité, clé de voute de la mise en conformité LPM ». Tout comme l’a fait WannaCry ou NotPetya par le passé sur un autre périmètre, Triton a véritablement mis en lumière de nombreuses vulnérabilités sur les systèmes industriels. Nous étions présents à la 26ème édition de la conférence de sécurité DEF CON à Las Vegas et avons mis à votre disposition les comptes-rendus des diverses conférences à ce sujet. Nous avons aussi animé un atelier de 4 heures sur la sécurité des systèmes industriels. Enfin, autre initiative lancée dans le but de sensibiliser à ces problématiques, nous avons monté et partagé une vidéo sur la base de notre maquette de train afin de présenter les principales attaques sur les SI, et en particulier l’insécurité des protocoles industriels, sous la forme d’un véritable « Capture the Flag » physique.

 

Sans oublier nos fondamentaux : la révision de nos benchmarks

La cybersécurité est un secteur en constante évolution. Pour vous aider à vous situer vis-à-vis sur votre marché, mais aussi pour sensibiliser la communauté, Wavestone réalise et met à jour ses benchmarks régulièrement. Cette année, deux benchmarks ont particulièrement attisé votre curiosité :

  • Nous avons d’abord sorti notre benchmark de la sécurité des sites. Le même indicateur fort ressort, et ce depuis 3 ans : nos tests web ont révélé la présence d’au moins une faille de sécurité sur l’intégralité des sites analysés. Pour 56% d’entre eux, il s’agit d’une faille majeure !
  • Notre deuxième benchmark porte sur la prise en compte de la cybersécurité dans les comptes annuels des entreprises du CAC40. Bonne surprise, il apparaît que 100% des entreprises du CAC 40 se mobilisent sur le sujet de la cybersécurité, ce qui est encourageant et ce qui dénote une vraie prise de conscience au niveau des grandes organisations. Cependant, il apparaît que seulement 25% des groupes du CAC40 adressent la problématique cyber au niveau du comité exécutif. A garder en tête également, l’intégration de nouvelles technologies devrait toujours embarquer une sécurisation adaptée !