L’augmentation exponentielle des volumes de données publiques rend toujours plus complexe la protection informatique des entreprises.
Les résultats du dernier baromètre du Club des experts de la sécurité de l’information et du numérique ont livré une vue d’ensemble assez préoccupante du « cyber-risque » pour les grandes entreprises. Plus d’un responsable sécurité sur cinq (21 %) de ce groupement, qui représente essentiellement des entreprises du CAC 40, à la Bourse de Paris, a en effet indiqué avoir été touché par quinze attaques ou plus au cours de l’année 2016.
Open data et cybersécurité : les deux approches ne sont pas antagonistes.
De plus, 80 % disent avoir constaté au moins une cyberattaque en 2016, et 46 % estiment que leur nombre a augmenté par rapport à 2015. En conséquence, 84 % d’entre eux prévoient d’acquérir de nouvelles solutions techniques.
Une nécessité, sans aucun doute, car, comme le souligne Niels Everstijn, Business Unit Manager d’Axians Security Netherlands, « la difficulté de la tâche ne cesse d’augmenter ». Il ajoute : « C’est une évolution inévitable et de long terme. L’information se situe absolument partout désormais et chaque développement constitue un nouveau défi. En fait, tout ne fait que commencer ! »
« L’open source doit aussi être protégé »
Dans ce contexte, le développement de l’open data constitue-t-il un risque spécifique ? Rend-il plus complexe la protection des entreprises ? Contrairement à une idée répandue, l’open data ne concerne pas que les start-up et les sociétés récemment créées. Au Royaume-Uni, par exemple, selon l’Open Data Institute (ODI), environ deux sociétés sur cinq fonctionnant en mode open data ont été créées il y a plus de dix ans, et près d’une entreprise sur dix compte plus de 250 salariés. L’utilisation de l’open source engage la responsabilité de l’utilisateur. C’est donc à lui que revient la tâche de déterminer si le code source ouvert est suffisamment sûr au sein de l’architecture.
« Le principe de l’open data est particulier, explique Niels Everstijn, car les entreprises n’ont pas développé tout ce qui est lié à l’open source avec des exigences de sécurité à l’esprit. Cela dit, je ne pense pas que les deux approches de l’open data et de la cybersécurité soient antagonistes. Il faut juste que les acteurs aient conscience que l’open source doit aussi être protégé, dans la mesure du possible. »
« Saisir une opportunité »
Le dernier rapport de l’ODI confirme qu’une évolution parallèle est en cours : bien que les sociétés soient de plus en plus victimes d’attaques (multiplication par huit des demandes de rançon en 2016), elles actualisent également de plus en plus leur agenda open data, ceci étant d’une certaine manière le meilleur moyen de couper l’herbe sous le pied des pirates.
D’après Jeni Tennison, Directrice Générale de l’ODI, les sociétés ne se jettent pas dans l’open data « par simple volonté d’ouverture. Elles voient cela comme le moyen de réduire un fossé, un risque, et de saisir une opportunité ».
Axians, qui a créé une structure permettant au responsable sécurité d’adopter différents niveaux de prévention et de réponse en fonction de la nature de l’évolution de la menace, s’adapte en conséquence. « Il est aujourd’hui plus simple de mettre le thème de la cybersécurité au cœur de la politique des entreprises », confirme Niels Everstijn.
03/07/2017
