En partenariat avec
Maxence Dermerlé, directrice du numérique au Medef, interviendra à la table ronde des Rencontres Cybersécurité Occitanie sur la thématique «Les chefs et cheffes d’entreprise, au cœur de la Cybersécurité». Face aux attaques toujours plus redoutables des hackers, elle plaide pour une sensibilisation générale aux enjeux et une harmonisation européenne de la sécurité.
Maxence Demerlé, en quoi est-ce important pour un chef d’entreprise de s’occuper de sa cybersécurité?
Le cyberespace nécessite d’être vigilant : on parle d’espace virtuel mais tout ce qui s’y passe est bien réel et peut avoir des conséquences concrètes. Le système informatique d’une entreprise peut être une véritable passoire. Il faut former les salariés aux gestes barrières numériques. On a été un peu aidé par la crise : les entreprises ont réalisé combien elles dépendaient des réseaux télécoms et que les activités nuisibles étaient nombreuses sur le web. Il est important de prévoir un plan pour savoir réagir et rebondir en cas de crise, car il n’est plus question de savoir aujourd’hui si on se fera attaquer mais plutôt quand et comment. Il faut éviter que l’attaque puisse geler toute l’activité, il en va de la survie de votre entreprise. Même les grands groupes ne sont pas toujours capables de se relever.
Avez-vous l’impression que les patrons sont aujourd’hui suffisamment sensibilisés à ces enjeux?
La crise a accéléré cette prise de conscience qui était jusque-là un peu latente. La cybersécurité a certes besoin d’experts, mais il s’agit d’en faire un sujet de gestion courante dans l’entreprise. L’Anssi (agence nationale de la sécurité des systèmes d’information, NDLR), cybermalveillance.gouv.fr ainsi que le Medef sont mobilisés pour renforcer la sensibilisation et mettre à disposition des outils pour accompagner les entreprises. Pendant la crise, on a vu des attaques mais aussi beaucoup d’arnaques (arnaque au président, phishing, message d’un faux support technique). Désormais, les experts-comptables et assureurs interrogent leurs clients chefs d’entreprise sur l’état de leur protection cyber : «Avez-vous fait un audit de votre système? Formez-vous vos salariés?» Le risque est complètement intégré dans leur démarche.
Que faire pour améliorer cette compétence?
Le Medef propose des tests pédagogiques en ligne pour se familiariser à la cybersécurité. Les chefs d’entreprise doivent se renseigner sur les risques «tendances» pour mieux les éviter. Nous mettons à disposition une librairie d’informations pour se référer aux guides professionnels ou de courtes vidéos de l’Anssi ou du Cesa (centre d’études stratégiques aérospatiales). Pour ses dix ans, l’Anssi a publié sa nouvelle revue annuelle Les Papiers numériques. C’est un travail considérable! Il existe des gestes barrières sur internet, il faut les appliquer : changer de mot de passe régulièrement, éviter de travailler avec ses outils personnels. L’entreprise doit équiper ses collaborateurs en matériel professionnel et sécurisé : de l’ordinateur jusqu’à la clé USB. De manière pédagogique, on peut même organiser des mises en situation avec les salariés d’une entreprise, comme pour un exercice incendie. Par exemple, le chef d’entreprise leur envoie un mail de phishing, pour vérifier qu’ils savent comment réagir face à ce type de dangers.
Peut-on concevoir la cybersécurité au niveau européen?
Tout à fait. La Commission européenne vient justement de publier sa stratégie en sécurité informatique pour les cinq prochaines années. Les entreprises sont la cible d’arnaques, comme tout internaute, mais surtout de cyberespionnage. Sony avait révélé qu’ils étaient espionnés depuis plusieurs mois, voire plusieurs années. Au Medef, nous souhaitons discuter de ces stratégies de sécurisation des industries et de leur souveraineté à l’échelon européen. Nos entreprises doivent être guidées dans ce domaine, grâce notamment à une certification européenne. L’Enisa (l’équivalent européen de l’Anssi) se développe, nous assistons à une prise de conscience européenne du besoin de sécurisation des réseaux et pas uniquement informatiques, du fait de leur interdépendance. Les agences nationales nécessitent de s’harmoniser via une instance européenne. La cyberguerre est déjà là : il faut garder en tête qu’une attaque sur deux est liée à une puissance étatique! L’Australie vient de subir une série d’attaques, venant d’un acteur étatique, qui cible notamment ses réseaux hospitaliers et le gouvernement. Puisque toutes les entreprises sont dépendantes des réseaux télécoms, nous devons pacifier l’écosystème numérique européen pour le rendre plus sûr.
Propos recueillis par Mathieu Michel
Sur la photo : Maxence Demerlé, directrice nationale du numérique au Medef. Crédits : DR.