Emmanuel Cheriet, directeur Maroc et Afrique francophone Orange Cyberdéfense
La digitalisation des entreprises n’est pas sans risques, et les attaques n’épargnent aucune organisation.
Selon Emmanuel Cheriet, la question n’est pas de savoir si cela va vous arriver, mais quand ?
Propos recueillis par Lilia Habboul
Finances News Hebdo : Dans quelles mesures la sécurisation des systèmes et des données s’impose aujourd'hui comme une exigence prioritaire pour les entreprises ?
Emmanuel Cheriet : La sécurisation des données et des systèmes informatiques est devenue prioritaire pour les entreprises et administrations pour plusieurs raisons.
• L’importance de la donnée : elle est devenue une valeur ajoutée importante pour les entreprises, (données économiques financières, personnelles, métiers, etc.). Perdre cette donnée serait très préjudiciable à chaque organisation.
• La limitation des risques : diriger une entreprise, c’est aussi savoir anticiper ses risques. Le risque cyber est devenu très important pour les entreprises et est maintenant pris en compte au plus haut niveau. C’est dans ce sens que la sécurité et la protection des données sont devenues une exigence prioritaire.
• L'accélération de la numérisation : le monde change à grande vitesse, les entreprises doivent s’adapter et numériser leurs systèmes et leurs offres pour proposer de nouveaux services à leurs clients et usagers. Cependant, la numérisation sans sécurité serait très dangereuse pour les entreprises et les utilisateurs.
• Les avantages concurrentiels/image de marque : une entreprise bien sécurisée et proposant des services sûrs aura un avantage concurrentiel sur les autres (exemple : dans le secteur bancaire, une banque connue pour la sécurité attirera plus de clients). A contrario, une entreprise attaquée et ayant un niveau faible de sécurité verra son image de marque se dégrader et donc perdra potentiellement des parts de marché.
• La conformité : la sécurisation des systèmes et des données est également imposée par la législation et les règlements mis en place par les autorités (exemple : RGPD ou 09.08 pour la protection des données personnelles). Les organisations doivent donc se mettre en conformité avec ces règles au risque de se voir infliger des amendes par les autorités.
F.N.H. : Que fait Orange Maroc pour le renforcement de son développement de l’activité Cyber sécurité ?
E. Ch. : Orange Maroc est très actif dans le développement de ses services de cyber-sécurité. En effet, la cybersécurité fait partie des axes de développement stratégiques de l’entreprise. Orange Maroc a déjà lancé des offres de sécurité associées à des services de connectivité. Il s’agit de l’offre Business Internet Security. La filiale marocaine est alignée à la stratégie du groupe en s’associant à Orange Cyberdéfense pour accélérer sa proposition de valeur en matière de sécurité et pour adresser les besoins de ses clients.
Orange Cyberdéfense va permettre d’accélérer le développement de l’activité au Maroc, à la fois en proposant des offres sur-mesure pour les grandes entreprises et administrations du pays et en construisant avec Orange Maroc des offres packagées alliant services opérateurs et services de sécurité pour adresser le marché des entreprises (de la PME jusqu’à la grande entreprise).
F.N.H. : Quelles peuvent être les bonnes pratiques à établir pour éviter toutes formes de vulnérabilités dans ce sens ?
E. Ch. : Il est difficile de répondre à cette question de manière exhaustive. En effet, il y a un grand nombre d’éléments à mettre en place pour assurer un bon niveau de sécurité, en termes de process, d’outillage, de méthodologie etc. Cependant, il est avant tout important de respecter certaines règles de base. Lors de nos audits, nous nous rendons compte très régulièrement qu’elles ne sont pas respectées. Avant de mettre en place des solutions complexes et onéreuses, il est donc nécessaire de respecter les bonnes pratiques de base. Nous pouvons en citer quelques-unes importantes à res-pecter :
• La formation des utilisateurs : Beaucoup d’attaques ou de vulnérabilités sont dues à des failles, malveillances ou négligences internes. Il est donc primordial de sensibiliser ses employés à la sécurité des systèmes d’information. Parmi les thèmes à traiter, nous pouvons retenir : la gestion des mots de passe (complexité, changements, confidentialité); la gestion des documents (niveau de confidentialité, stockage); les connexions utilisées à l’extérieur; avoir une attention particulière aux réseaux sociaux (informations partagées ...); la gestion des clés USB, disques durs externes, le phishing (sensibiliser les utilisateurs pour être vigilants quant aux e-mails et pièces qu’ils reçoivent).
- Connaître ses assets, ses risques, ses données : Pour bien se protéger, il est important de savoir ce qui est installé sur le réseau de l’entreprise. Est-ce que je connais tous les équipements connectés, est-ce que je les maîtrise ? Il est également primordial de savoir ce qui est important à protéger pour l’entreprise (quelles données ?), et de bien connaître ses risques. Quels sont mes risques, suis-je protégé contre, quelles menaces pèsent sur mon entreprise ?
• Politique de mise à jour : mettre en place un suivi des mises à jour des logiciels, applications etc. Régulièrement, les nouvelles versions des logiciels viennent corriger des failles de sécurité, des vulnérabilités. C’est ce que nous appelons le patch management. Avant tout, il est important d’avoir des systèmes de sécurité à jour (tels que les antivirus etc.)
• Définir une politique de sécurité : Ai-je défini une politique avec des bonnes pratiques à respecter pour les utilisateurs, les métiers, etc. ?
• Mettre en place des solutions de protection : Une fois que nous connaissons nos risques, nos actifs essentiels et nos failles, il est nécessaire de mettre en place des systèmes de protection.
Lorsque ces basiques et bonnes pratiques sont respectées, les entreprises/ administrations pourront aller plus loin en mettant en place des services avancés comme la détection d’incidents de sécurité et/ou des services de veille pour aller vers une sécurité proactive et une anticipation des menaces. ◆