James Thew - Fotolia
Débat : les fuites de données personnelles ont-elles un impact ?
… sur les pratiques de sécurité des entreprises ? C’est loin d’être certain, au moins pour celles qui ne sont pas directement concernées. La règlementation et l’assurance pourraient aider toutefois à changer les choses.
Exactis, Typeform, MyHeritage, Adidas, Ticketmaster, Ticketfly, le service de santé britannique… Les révélations de brèches induisant des compromissions de données personnelles se sont multipliées ces dernières semaines. A l’heure du nouveau règlement sur la protection des données personnelles (RGPD), ces incidents soulèvent de nombreuses questions. A commencer par celle-ci : des enseignements sont-ils véritablement tirés de ces épisodes ?
Le débat a été ouvert, ce 3 juillet, par Gérôme Billois, senior manager au sein de la practice Risk Management et Sécurité de l’information de Wavestone, avec un hashtag éloquent : #DataBreachFatigue. Fabien Lorc’h, spécialiste gestion de crise cyber, évoque alors un « sentiment de parler dans le vent ». Pour Gérôme Billois, ce n’est pas une illusion : « honnêtement, on s’y est déjà fait, non ? » Et d’étayer son propos : « ce qui m’embête le plus, c’est que la peur de la fuite qui me semblait [être] le premier levier pour déclencher des actions est en train [de se concrétiser] tellement souvent et avec tellement peu de conséquences qu’elle perd toute sa force ». Un phénomène d’usure anesthésiant, en somme.
La sécurité passe après
Pas franchement optimiste, Fabien Lorc’h ne croit plus « qu’à la leçon personnelle. Il faut toucher le feu pour savoir qu’on se brûle ». Un regard qui renvoie à celui d’Andrzej Kawalec, qui estimait début 2016, alors qu’il était directeur technique Enterprise Security Services de HPE, que « lorsque cela devient personnel, les RSSI tendent à réagir plus ».
Pour Antonin Hily, directeur MSSP de Sopra Steria, la situation est « symptomatique » d’une approche qui a la vie dure : opposer exigences de production à la sécurité. Et d’illustrer : « c’est infernal d’entendre encore aujourd’hui de grand(e)s DSI dire : ‘on a du business à faire. On comprend votre discours, mais business first’ ».
Gérôme Billois indique de son côté observer « des comptes qui réduisent les budgets sécurité. [Je n’ai] pas envie d’être alarmiste, mais c’est du vécu récent. Diane Rambaldini, présidente de Crossing Skills, confirme la tendance.
Mais pour Matthieu Garin, senior manager chez Wavestone, il convient toutefois de relativiser, au moins dans certains secteurs où la baisse constatée porte surtout sur les investissements, alors que les grandes vagues de projets majeurs sont passées.
D’ailleurs, cela n’exclut pas l’existence de grands budgets – « plus de 50 M€ dans l’industrie, plus de 100 M€ voir plus dans la finance », relève Gérôme Billois. Tout en soulignant un travers : « souvent, ces budgets submergent les filières SSI et montrer l’efficacité n’est pas évidente ».
Un impact ? Quel impact ?
Pour Disees, le phénomène de « fatigue » n’est peut-être que révélateur du fait « que l’impact business d’une fuite [de données] est finalement faible. Donc que le risque est finalement acceptable pour [l’entreprise] ». Et de souligner que « la sécurité, c’est souvent accepter le risque car la contre-mesure est plus chère que l’impact ».
Et justement, Gérôme Billois relève que nombre d’analyses font ressortir des impacts au moins boursiers limités et « temporaires, quelle que soit l’ampleur de la crise ». Pour lui, « la seule chose qui fait vraiment mal, ce sont les pertes directes/indirectes liées à la crise ». Avec notamment aux Etats-Unis, les procédures collectives.
Et Newsoft d’étayer, renvoyant au passage à une analyse de Liviu Arsene, analyste chez Bitdefender, qui montrait, en juillet 2016, le peu d’impact des brèches sur la valorisation boursière des entreprises affectées.
Mais Gérôme Billois relève tout de même que la tendance, « chez les plus mûrs » est à la quantification du risque financier. Ce qui permet, dès lors, d’entrer « dans un discours financier solide et rationnel, même s’il doit encore être éprouvé ».
Mais pour Fabien Lorc’h, l’un ne va pas sans l’autre : « la prévention, c’est aussi de la préparation à la réponse à incident ». Car lorsque des équipes sont bien formées et que la remontée d’informations est rapide, la remédiation est plus efficace.
Reste que, pour Disees, les budgets ne sont pas illimités et « seule l’analyse de risque permet de dire où il faut mettre les sous ». Mais pour Fabien Lorc’h, les budgets aujourd’hui alloués à la cybersécurité « sont dérisoires par rapport au besoin ».
Quoi qu’il en soit, Matthieu Garin estime que les budgets restent encore très largement établis « sans analyse de risque, ou alors grossière, pour se mettre à niveau sur tout ».
L’approche juridique et assurantielle
Mais encore faut-il que la compréhension du sujet soit partagée. Et Jef Mathiot, contributeur de Reflets.info, de renvoyer à son expérience personnelle avec un directeur de division d’entreprise pour qui « la sécu, c’est juste un centre de coûts ».
Eric Egéa, conseiller en cybersécurité et criminalistique, se veut plus positif. Il fait le parallèle avec les campagnes de lutte contre le tabagisme. Et pour lui, il ne serait pas pertinent de « dire que les campagnes antitabac sont banales parce qu’une majorité de fumeurs ne prête plus attention au message. Elles arrivent malgré tout à sauver une poignée d’irréductibles et à modifier les comportements sur la durée ». Et lorsque la prévention ne suffit plus, il reste le volet répressif : « la loi va prendre financièrement le relais du message pédagogique de l’actualité ».
Pour autant, il se souvient d’un échange avec un responsable des ressources humaines lui expliquant que, non, aucun poste de correspondant informatique et libertés ne serait créé dans l’entreprise. Mais également que, « à partir du moment où la loi [sera] trop violente, il [sera] moins coûteux d’embaucher des juristes pour louvoyer entre les lignes des textes ». Ce que beaucoup font, selon Fabien Lorc’h.
Pour lui, c’est peut-être plus l’assurance qui fera changer les mentalités, sous l’effet de la croissance des demandes d’indemnisation à mesure qu’elles demanderont à en savoir plus sur la posture réelle de leurs prospects. Et Jérôme Saiz, d’Opfor Intelligence, de s’inscrire sur la même ligne.
Mais pour l’heure, selon Gérôme Billois, l’assurance conserve un effet anesthésiant, compte tenu de l’écart entre montant couvert et coût de souscription, apparemment bas. Un défaut de maturité du marché, toutefois, pour le RSSI Etienne Akopcan.
Où l’on part de très loin
En définitive, pour Gérôme Billois, « la vraie difficulté est que l’on part souvent de zéro. Alors oui, les premières années, les investissements explosent, mais après quelques cycles, il faut arriver à un atterrissage cohérent ». Et là, savoir positionner « le curseur » est plus délicat. Un regard partagé par Jérôme Saiz pour qui le juste positionnement constitue « un bon marqueur de maturité ». Mais Antonin Hily souligne, non sans humour, qu’être mature ne se résume pas à disposer d’un RSSI et d’un DPO (digital privacy officer).
Quoi qu’il en soit, Disees interroge, non sans ironie : « quand on est mature, combien doit-on investir dans la lutte contre les data breaches ? (puisqu’il semble maintenant accepté qu’elles ne coûtent rien) ».