NOUVELLES GÉNÉRALES / 14-06-2023
Arantza Zubia relève le défi de diriger la cybersécurité de Grupo Arania en plein essor des technologies telles que ChatGPT, et à l’apogée de celle qu’on appelle la révolution technologique. Elle attire l’attention sur le fait que le « ransomware » et le « phishing » sont les principales menaces des entreprises, et précise que le courrier électronique est la principale voie d’entrée de ce type de logiciels malveillants. C’est pourquoi elle insiste sur la sensibilisation et la formation, qui sont essentiels pour réduire le risque d’une attaque et fait sienne une phrase prononcée au XVIIIème siècle par un philosophe écossais : « Une chaîne est aussi solide que son maillon le plus faible ».
Question. La cyberdélinquance est devenue une des principales menaces externes des entreprises. Comment ce phénomène a-t-il évolué ces dernières années ?
Réponse. Les menaces ont augmenté de manière exponentielle, essentiellement pour deux raisons. D’une part, la prolifération de nouvelles infrastructures et de technologies numériques a permis de multiplier les objectifs des cyberdélinquants. Par exemple, avec l’apparition des boutiques en ligne, leur objectif a été d’obtenir les données des cartes de paiement. Après, quand sont arrivés les réseaux sociaux, la porte s’est ouverte sur la génération des fakenews ou fausses informations. Ensuite, avec le télétravail durant le COVID, les risques se sont multipliés parce que les cyberdélinquants ont commencé à accéder à des entreprises de manière non autorisée. Et aujourd’hui, nous assistons à l’apparition de technologies telles que ChatGPT qui augmentent encore plus les risques, par exemple avec l’usurpation d’identité en ligne, entre autres. La deuxième raison de cette augmentation concerne l’organisation des propres cyberdélinquants. Les attaquants n’ont plus besoin d’être experts pour créer leurs propres malwares, ils ont maintenant recours au Dark Web où ils peuvent trouver des plateformes appelées « Malware As A Service (MAAS) » et acheter les ressources nécessaires pour commettre un délit, qui sont souvent des kits déjà prêts qui ne nécessitent aucune connaissance technique. Cela facilite l’augmentation des groupes activistes de ces cyberattaques et le nombre potentiel d’objectifs.
« Nous devons exiger à nos fournisseurs les mêmes conditions de cybersécurité que nous appliquons au sein du Groupe même si cela n'est pas simple. »
Q. De quelle manière la quatrième révolution industrielle a-t-elle affecté cette menace ?
R. L’industrie 4.0 implique l’incorporation de nouvelles technologies telles que la robotique, le Cloud ou Internet of Things, et connecte les mondes numériques avec le monde physique. L’application des nouvelles technologies présente des avantages certains, comme l’augmentation de l’efficience dans la fabrication ou l’amélioration dans la gestion du contrôle des processus, mais également des inconvénients et l’un d’eux est qu’elle augmente le risque de souffrir d’incidents de cybersécurité. De nouvelles menaces surviennent en raison du nombre élevé de dispositifs connectés à Internet et cela nous oblige à protéger les communications et les systèmes afin d’assurer la sécurité des équipements et de l’information, et garantir ainsi l’activité commerciale. En outre, il existe de plus en plus de fournisseurs dont dépendent ces nouveaux systèmes, c’est pourquoi, nous devons leur exiger les mêmes conditions de cybersécurité que nous appliquons au sein du Groupe, de manière contractuelle, et ce n’est pas toujours facile. La numérisation doit aller de pair avec la cybersécurité dès la phase de conception, et il est souvent difficile pour les fournisseurs de s’adapter à ces changements lorsque nos systèmes sont déjà implantés.
« Ma tâche consiste à élargir la sensibilisation depuis la Direction à toutes les personnes faisant partie des entreprises du Groupe. »
Q. Comment Grupo Arania gère-t-il la cybersécurité ?
R. Nous le faisons avec une direction centralisée et un engagement clair de la part des gérants des différentes entreprises du Groupe et des personnes du conseil de direction, qui considèrent la cybersécurité comme un investissement, ce qui est très important.
Q. Existe-t-il, au sein de Grupo Arania, la conscientisation nécessaire pour pouvoir développer une politique de cybersécurité efficace ?
R. La Direction, la partie supérieure de la pyramide, soutient largement ce travail. Il existe une grande conscientisation mais ma tâche consiste à l’étendre à toutes les autres personnes faisant partie des entreprises. Bien que nous travaillions toujours en ce sens, il n’existe pas une garantie absolue de sécurité et nous devons continuer d’insister sur la sensibilisation des personnes. La création de ce nouveau poste au sein de Grupo Arania est une décision stratégique émanant des hauts responsables, qui ont décidé de séparer l’IT de la cybersécurité, ce qui prouve son importance. De plus, dans le cadre de cette stratégie, le Groupe possède également une puissante équipe d’IT qui dynamise et applique les technologies, et collabore avec des partenaires spécialisés qui réalisent une tâche globale très importante.
« Le courrier électronique est la principale voie d’entrée du malware et ce que reçoivent le plus les personnes faisant partie du Groupe. »
Q. Avoir presque 1 000 personnes travaillant dans le Groupe ne doit pas être une tâche facile, existe-t-il une règle de base pouvant se transmettre de manière générale afin d’éviter les attaques des cyberdéliquants ?
R. Le courrier électronique est la principale voie d’entrée du malware (logiciel malveillant) et ce que reçoivent majoritairement les personnes du Groupe. La plupart des attaques dont souffrent les entreprises s’adresse aux personnes qui y travaillent. Le phishing ou l’usurpation d’identité demeure encore notre plus grande menace et pour l’éviter, il est essentiel de sensibiliser les personnes. Cette tâche de sensibilisation est une des principales mesures que nous devons adopter bien que ce soit difficile, car nous sommes nombreux et très répartis. Comme l’a dit Thomas Reid au XVIIIème siècle, « une chaîne est aussi solide que son maillon le plus faible ». Ici, nous, les personnes faisant partie de l’entreprise, nous sommes le maillon le plus faible : c’est pourquoi, nous devons constamment travailler sur la sensibilisation et la formation en cybersécurité. Dans cette tâche, il est très important de bien communiquer, de montrer une certaine proximité et de faire sentir aux personnes qu’elles font partie de l’équipe de cybersécurité. Je suis consciente qu’il est difficile d’appliquer les mesures que nous mettons en place et que nous devons le faire avec beaucoup de tact et une certaine proximité, mais nous le faisons pour le bien de tous, ce n'est pas quelque chose que nous avons inventé.
« Pour Grupo Arania, les « backups» et les plans de récupération sont stratégiques mais nous avons également préparé un « disaster recovery. »
Q. Quelles sont les principales menaces auxquelles font face les entreprises ?
R. Le ransomware et le phishing sont les deux menaces les plus utilisées pour extorquer les entreprises. Le ransomware est la pire car il peut compromettre la continuité d’une entreprise et est énormément répandu. Ce malware peut placer les organisations face à un grand dilemme : soit vous payez, soit vous perdez vos données. C’est la raison pour laquelle Grupo Arania considère stratégique de réaliser des backups des systèmes et de développer un plan de récupération de ces copies de sécurité pour vérifier qu’elles fonctionnent correctement. En plus de déployer un plan de récupération de disaster ou disaster recovery pour être prêts le moment venu. La deuxième grande menace est le phishing et ses variantes, qui sont de plus en plus fréquentes, avec lesquelles les cyberdélinquants tentent de voler des informations sensibles ou d’installer des malwares sur les équipements.
« Bien que nous n’ayons pas encore vu un mauvais usage de ChatGPT, les cyberdélinquants peuvent l’utiliser pour usurper l’identité d’un dirigeant. »
Q. Existe-t-il une menace émergente dans le domaine commercial face à laquelle il faut être vigilant ?
R. Au sein de Grupo Arania, nous n’avons pas encore vu un mauvais usage de ChatGPT mais les cyberdélinquants peuvent utiliser cet outil pour usurper la voix d’un dirigeant voire même son image. Bien que l’on commence à parler de ces nouvelles variantes de cyberdélinquance, nous n’avons pas encore vu de cas similaire. Les attaques nous parviennent toujours au travers du courrier électronique.
Q. Jusqu’où la menace de ChatGPT peut-elle aller ?
R. Bien que cette technologie soit encore naissante, nous devons tous commencer à adopter des mesures de prévention car elle peut contribuer à ce que se produisent des incidents. Cette technologie, par exemple, vous permet d’utiliser la voix d’une personne pour élaborer un faux message sans que le destinataire ne puisse distinguer s’il s’agit d’un message réel ou falsifié. Ou pourrait permettre de générer automatiquement un code, inclure un code malveillant.... nous devons analyser la portée de ces risques et adopter les mesures de prévention nécessaires.
« Certaines entreprises ont déjà commencé à se mobiliser pour réglementer, voire même interdire l’utilisation de ChatGPT. »
Q. On dit que la technologie et les délits sont toujours en avance sur la réglementation... Cela s’applique-t-il également à ChatGPT ? Existe-t-il une réglementation à ce sujet ?
R. Pour le moment, non. Certaines entreprises ont déjà commencé à se mobiliser pour réglementer et même interdire l’utilisation de cette technologie, ou pour prévenir de ses risques. Le problème est que la technologie avance beaucoup plus vite que la réglementation et ce risque nous le courons tous parce que les attaquants en profitent.
Q. Pouvons-nous espérer obtenir un risque zéro en matière de cybersécurité ?
R. La cybersécurité à 100% n’existe pas et les attaquants vont toujours chercher une voie d’entrée pour trouver des vulnérabilités avec les avancées technologiques. La seule chose que nous pouvons faire est de leur rendre la tâche difficile en appliquant des mesures préventives pour protéger nos infrastructures.
