Dans un monde où la cyberdélinquance est devenue monnaie courante et où, en cas d'attaque par ransomware, les entreprises se voient contraintes de débourser des sommes affolantes, la Belgique ne s'en sort pas trop mal à première vue. En tout cas si l'on en croit les différents classements en matière de cybersécurité, dans lesquels notre pays occupe généralement une place de choix. On peut cependant s'interroger sur la valeur réelle de ces classements. Et cela ne doit surtout pas nous inciter à nous reposer sur nos lauriers.

Il ne s'agit après tout que d'un instantané. Ce qui compte vraiment, c'est la manière dont notre pays gère les vulnérabilités. Comment réagissons-nous aux incidents et sommes-nous en mesure de partager rapidement des informations avec des parties vulnérables ? Notre rapidité et notre efficacité dans la neutralisation des menaces sont nettement plus révélatrices des capacités de la Belgique en matière de cybersécurité.

De l'IT à l'OT

La cybersécurité est devenue un défi très complexe dont nous sous-estimons souvent l'ampleur. Ainsi, il y a longtemps que l'infrastructure d'une organisation ne se limite plus au département IT. Les entreprises manufacturières utilisent par exemple des robots, des applications IoT, l'IA et des capteurs pour améliorer leur processus de production. La technologie les rend plus performantes face à la concurrence, mais aussi plus vulnérables aux cyberattaques. Selon un rapport publié récemment par Agoria, une entreprise manufacturière sur deux en Belgique craint d'être la cible d'une cyberattaque.

La Belgique a besoin d'une autorité forte en matière de cybersécurité.

Près de 77 % des répondants ne testent jamais la sécurité de la technologie opérationnelle (OT) et 48 % ne possèdent pas les connaissances nécessaires en interne pour faire face à une cyberattaque. Des chiffres qui révèlent que notre pays a encore du pain sur la planche. C'est aussi l'avis de Danielle Jacobs (Beltug), Miguel De Bruycker (Centre for Cyber security Belgium - CCB) et Bart Steukers (Agoria).

Assurance cybersécurité obligatoire

Et selon le Beltug Priorities Compass 2021, un sondage réalisé chaque année auprès des décideurs IT, cinq grandes priorités sur dix sont liées à la cybersécurité. Il est donc évident que les entreprises doivent absolument adopter des mesures ciblées dès à présent. Agoria estime qu'imposer une cyberassurance serait une bonne chose. Tout comme pour une assurance incendie, l'assureur imposerait un certain nombre d'exigences minimales auxquelles l'entreprise devrait satisfaire pour bénéficier d'une couche de protection. Cette solution constituerait déjà un beau pas en avant, car les cyberdélinquants ciblent généralement les proies faciles qui ne leur demandent pas trop d'efforts.

Cette assurance obligatoire présente un autre avantage : en cas d'attaque, l'entreprise sait toujours à quelle porte frapper. La panique n'est jamais bonne conseillère en situation de crise. L'assureur pourrait justement veiller à ce que l'organisation prenne les mesures adéquates. Les entreprises pourraient en outre faire appel à un partenaire technologique agréé par la compagnie d'assurances. En adoptant les bonnes mesures, les entreprises sont protégées contre les attaques, mais gagnent aussi la confiance des clients lorsqu'elles peuvent démontrer qu'elles prennent la cybersécurité au sérieux.

Dans ce cadre, Beltug a organisé une session au cours de laquelle 60 entreprises ont partagé leurs expériences en matière d'assurance cybersécurité. Les organisations participantes confirment qu'elles ont dû respecter plusieurs exigences strictes pour pouvoir souscrire une telle assurance. Elles recommandent de remplir minutieusement le questionnaire, d'investir dans la cybersécurité, d'aborder le sujet avec les cadres dirigeants et de ne surtout pas conserver de copie numérique de la politique d'assurance, car les cyberdélinquants pourraient en prendre connaissance et exploiter à leur avantage les petits caractères.

Une autorité de régulation forte

La souscription d'une assurance ne suffit évidemment pas. Les entreprises doivent aussi bénéficier d'un meilleur soutien en matière de cybersécurité. La complexité et l'évolution constante du paysage politique belge ne facilitent cependant pas l'instauration d'une politique forte. De plus, le lien entre les instances nationales et internationales crée parfois la confusion. Quant à la communication entre les décideurs politiques et les entreprises, elle aurait bien besoin d'être rationalisée.

Pour les experts, la solution consiste à désigner une autorité de régulation forte qui transcende l'instabilité de la politique. Pour émettre cet avis, ils se sont inspirés d'autres domaines, comme la protection de la vie privée et l'IA, deux domaines dans lesquels la valeur d'une autorité de régulation forte a déjà été démontrée à plusieurs reprises. Un tel système permet aussi aux entreprises d'obtenir des réponses claires et univoques à leurs questions sur la cybersécurité. Le panel met en garde contre l'excès de réglementation : les règles doivent simplifier et non complexifier les choses en matière de sécurité. Mais cela ne sera possible qu'avec une autorité ayant le pouvoir de prendre des décisions et d'élaborer des directives de cybersécurité.

Créer un climat favorable

Bien entendu, les pouvoirs publics doivent avant tout être eux-mêmes un modèle pour le monde des entreprises. Et selon les experts de la table ronde, il serait aussi judicieux de créer un climat belge favorable aux entreprises de cybersécurité, de manière à attirer plus d'organisations dans notre pays ou à développer davantage de technologies chez nous. Le gouvernement pourrait par exemple se concentrer sur l'enseignement afin que les étudiants puissent combler les pénuries sur le marché de l'emploi.

La situation en Belgique n'est en aucun cas alarmante, mais nous ne devons pas relâcher nos efforts si nous voulons être prêts à relever les défis de la cybersécurité de demain. Les cyberdélinquants ne restent pas les bras croisés. Nous avons par conséquent besoin d'une autorité forte qui garde une vue d'ensemble sur la situation et veille à communiquer les informations à toutes les parties concernées. Si nous prenons les bonnes mesures, la Belgique sera bientôt l'un des pays les plus sûrs en matière de cybersécurité pour les entrepreneurs. Et nous pourrons alors flirter à juste titre avec le sommet de tous ces classements...

Dans un monde où la cyberdélinquance est devenue monnaie courante et où, en cas d'attaque par ransomware, les entreprises se voient contraintes de débourser des sommes affolantes, la Belgique ne s'en sort pas trop mal à première vue. En tout cas si l'on en croit les différents classements en matière de cybersécurité, dans lesquels notre pays occupe généralement une place de choix. On peut cependant s'interroger sur la valeur réelle de ces classements. Et cela ne doit surtout pas nous inciter à nous reposer sur nos lauriers.Il ne s'agit après tout que d'un instantané. Ce qui compte vraiment, c'est la manière dont notre pays gère les vulnérabilités. Comment réagissons-nous aux incidents et sommes-nous en mesure de partager rapidement des informations avec des parties vulnérables ? Notre rapidité et notre efficacité dans la neutralisation des menaces sont nettement plus révélatrices des capacités de la Belgique en matière de cybersécurité.La cybersécurité est devenue un défi très complexe dont nous sous-estimons souvent l'ampleur. Ainsi, il y a longtemps que l'infrastructure d'une organisation ne se limite plus au département IT. Les entreprises manufacturières utilisent par exemple des robots, des applications IoT, l'IA et des capteurs pour améliorer leur processus de production. La technologie les rend plus performantes face à la concurrence, mais aussi plus vulnérables aux cyberattaques. Selon un rapport publié récemment par Agoria, une entreprise manufacturière sur deux en Belgique craint d'être la cible d'une cyberattaque.Près de 77 % des répondants ne testent jamais la sécurité de la technologie opérationnelle (OT) et 48 % ne possèdent pas les connaissances nécessaires en interne pour faire face à une cyberattaque. Des chiffres qui révèlent que notre pays a encore du pain sur la planche. C'est aussi l'avis de Danielle Jacobs (Beltug), Miguel De Bruycker (Centre for Cyber security Belgium - CCB) et Bart Steukers (Agoria).Et selon le Beltug Priorities Compass 2021, un sondage réalisé chaque année auprès des décideurs IT, cinq grandes priorités sur dix sont liées à la cybersécurité. Il est donc évident que les entreprises doivent absolument adopter des mesures ciblées dès à présent. Agoria estime qu'imposer une cyberassurance serait une bonne chose. Tout comme pour une assurance incendie, l'assureur imposerait un certain nombre d'exigences minimales auxquelles l'entreprise devrait satisfaire pour bénéficier d'une couche de protection. Cette solution constituerait déjà un beau pas en avant, car les cyberdélinquants ciblent généralement les proies faciles qui ne leur demandent pas trop d'efforts.Cette assurance obligatoire présente un autre avantage : en cas d'attaque, l'entreprise sait toujours à quelle porte frapper. La panique n'est jamais bonne conseillère en situation de crise. L'assureur pourrait justement veiller à ce que l'organisation prenne les mesures adéquates. Les entreprises pourraient en outre faire appel à un partenaire technologique agréé par la compagnie d'assurances. En adoptant les bonnes mesures, les entreprises sont protégées contre les attaques, mais gagnent aussi la confiance des clients lorsqu'elles peuvent démontrer qu'elles prennent la cybersécurité au sérieux.Dans ce cadre, Beltug a organisé une session au cours de laquelle 60 entreprises ont partagé leurs expériences en matière d'assurance cybersécurité. Les organisations participantes confirment qu'elles ont dû respecter plusieurs exigences strictes pour pouvoir souscrire une telle assurance. Elles recommandent de remplir minutieusement le questionnaire, d'investir dans la cybersécurité, d'aborder le sujet avec les cadres dirigeants et de ne surtout pas conserver de copie numérique de la politique d'assurance, car les cyberdélinquants pourraient en prendre connaissance et exploiter à leur avantage les petits caractères.La souscription d'une assurance ne suffit évidemment pas. Les entreprises doivent aussi bénéficier d'un meilleur soutien en matière de cybersécurité. La complexité et l'évolution constante du paysage politique belge ne facilitent cependant pas l'instauration d'une politique forte. De plus, le lien entre les instances nationales et internationales crée parfois la confusion. Quant à la communication entre les décideurs politiques et les entreprises, elle aurait bien besoin d'être rationalisée.Pour les experts, la solution consiste à désigner une autorité de régulation forte qui transcende l'instabilité de la politique. Pour émettre cet avis, ils se sont inspirés d'autres domaines, comme la protection de la vie privée et l'IA, deux domaines dans lesquels la valeur d'une autorité de régulation forte a déjà été démontrée à plusieurs reprises. Un tel système permet aussi aux entreprises d'obtenir des réponses claires et univoques à leurs questions sur la cybersécurité. Le panel met en garde contre l'excès de réglementation : les règles doivent simplifier et non complexifier les choses en matière de sécurité. Mais cela ne sera possible qu'avec une autorité ayant le pouvoir de prendre des décisions et d'élaborer des directives de cybersécurité.Bien entendu, les pouvoirs publics doivent avant tout être eux-mêmes un modèle pour le monde des entreprises. Et selon les experts de la table ronde, il serait aussi judicieux de créer un climat belge favorable aux entreprises de cybersécurité, de manière à attirer plus d'organisations dans notre pays ou à développer davantage de technologies chez nous. Le gouvernement pourrait par exemple se concentrer sur l'enseignement afin que les étudiants puissent combler les pénuries sur le marché de l'emploi.La situation en Belgique n'est en aucun cas alarmante, mais nous ne devons pas relâcher nos efforts si nous voulons être prêts à relever les défis de la cybersécurité de demain. Les cyberdélinquants ne restent pas les bras croisés. Nous avons par conséquent besoin d'une autorité forte qui garde une vue d'ensemble sur la situation et veille à communiquer les informations à toutes les parties concernées. Si nous prenons les bonnes mesures, la Belgique sera bientôt l'un des pays les plus sûrs en matière de cybersécurité pour les entrepreneurs. Et nous pourrons alors flirter à juste titre avec le sommet de tous ces classements...