L’émergence d’un risque cyber, toujours de plus en plus prégnant, alourdit la tâche des dirigeants. Ils sont tenus de mettre en place des règles de cybergouvernance pour protéger leurs entreprises. Myriam Khelifi, Partner, Technology Risk & Cybersecurity chez EY, explique dans cette interview quelle approche adopter pour appréhender cette responsabilité.

Les cyberattaques font de plus en plus la une de l’actualité économique aussi bien en Tunisie que dans le monde. Comment qualifiez-vous le niveau de risque réel?

Au niveau mondial, depuis plusieurs années, les cyberattaques ne cessent d’augmenter en nombre et leur impact financier sur les entreprises ne cesse de croître. A titre d’illustration, une chaîne hôtelière mondiale a annoncé il y a quelques années l’exfiltration des données confidentielles de 400 millions de clients, un géant industriel mondial a été également amené à isoler informatiquement chacune de ses usines pour empêcher la propagation d’une cyberattaque. Les pertes se chiffrent à chaque fois en centaines de millions de dollars. En Tunisie, nous ne sommes pas épargnés non plus, plusieurs entreprises ont récemment communiqué sur les cyberattaques dont elles ont été victimes.

Qui est à l’origine de ces attaques? Et, finalement, quel est leur objectif?

L’édition 2021 de Global Information Security Survey, une étude que EY effectue tous les ans, montre que 23% des attaques sont réalisées par des groupes criminels organisés, 21% par des groupes sponsorisés par des Etats et 20% par des acteurs internes inattentifs ou inconscients du risque. Les raisons sont d’abord d’ordre financier, puisque les groupes criminels vont réclamer une rançon, appelée ransomeware dans le langage technique. Il y a également des actions à motivation géopolitique, à travers l’intervention indirecte des Etats, et enfin la négligence de la part des salariés des entreprises.

Il semble que les cyberattaques soient très sophistiquées. Il serait donc très difficile à l’entreprise de s’y opposer. Qu’en est-il au juste?

Tous les cas de figure existent. La plupart des attaques ne sont pas très sophistiquées. Les hackers utilisent, du moins dans un premier temps, des robots afin de forcer le dispositif de sécurité du système d’information de l’entreprise. Ces premières approches sont ensuite suivies d’attaques plus personnalisées, qui emploient de leur côté des méthodes et des outils beaucoup plus élaborés. C’est la raison pour laquelle nous recommandons aux entreprises de se montrer proactives en matière de cybersécurité, car un premier niveau intermédiaire de sécurité permet déjà de repousser des attaques peu sophistiquées.

Le télétravail a-t-il augmenté la vulnérabilité des entreprises en matière de cybersécurité?

Clairement oui, et ce, pour plusieurs raisons. D’abord, parce que le télétravail s’est imposé aux entreprises dans un délai très court, puisque celles-ci ont dû s’adapter en urgence au travail à distance dans le contexte Covid de 2020. Ensuite, parce qu’une fois la période d’urgence passée, de nombreuses entreprises ont négligé l’impératif de renforcer la sécurité globale de leur système d’information. Pour ces entreprises, je recommande qu’à court terme, les directeurs des systèmes d’information et les responsables de la sécurité des systèmes d’information conduisent des évaluations rapides des risques et redéfinissent les priorités des projets de cybersécurité. En outre, elles peuvent tirer profit des capacités des tierces parties pour pouvoir disposer de personnel et de ressources supplémentaires afin de se protéger des nouvelles menaces. Parallèlement à ces actions, les entreprises devraient préinstaller et configurer des ordinateurs portables, des tablettes et des lecteurs cryptés que les employés peuvent utiliser lorsqu’ils travaillent à domicile. Elles doivent développer des procédures de télétravail, déployer une formation de sensibilisation à la sécurité dans un environnement virtuel et, enfin, redéployer le personnel cyber pour un support technique permanent aux télétravailleurs, avec une assistance sur des sujets tels que l’utilisation du VPN ou la sécurisation des appareils personnels.

La cybercriminalité est aujourd’hui une réalité qui devient de plus en plus virulente. Est-ce à dire que l’entreprise tunisienne est condamnée à vivre avec ce risque?

Surtout pas! Aujourd’hui, toute entreprise performante a un système d’information ouvert, utilisant des technologies telles que le cloud ou mettant à la disposition de ses clients des applications mobiles. Effectivement, cela est porteur de risques pour l’entreprise. Mais les réponses à la maîtrise de ces risques existent. J’en citerai trois. D’abord, l’engagement du top management doit être total. Il est essentiel que les entreprises développent des structures de reporting et des moyens pour quantifier la valeur de la cybersécurité qui trouvent écho auprès du conseil d’administration. Elles devront alors mettre en œuvre des structures de gouvernance adaptées à l’objectif: les conseils d’administration et les dirigeants devraient reconsidérer leurs reportings et outils de contrôle budgétaire pour refléter le nouveau rôle de la cybersécurité au cœur de l’innovation. Il faut ensuite développer un ensemble d’indicateurs clefs de performances et de risques pour communiquer une vision centrée sur les risques dans les rapports de direction. C’est ce que l’on appelle la cyber-gouvernance. Ensuite, il faut faire de la cybersécurité un catalyseur clef dans la transformation digitale de l’entreprise, en l’intégrant dans les processus métiers à travers l’utilisation d’une approche “Sécurité par construction”. L’intégration de la cybersécurité dans la phase de planification de chaque nouvelle initiative commerciale est le modèle optimal, car elle réduit l’énergie et les dépenses liées au tri des problèmes après coup et renforce la confiance dans un produit ou un service dès le départ. Il faut que la cybersécurité devienne beaucoup plus intégrée et collaborative. Enfin, il faut doter le responsable de la sécurité du système d’information de nouvelles compétences, car les leaders de la cybersécurité doivent avoir un sens commercial, une capacité à communiquer dans un langage que l’entreprise comprend et une volonté de trouver des solutions aux problèmes de sécurité plutôt que de dire «non». Il est important que les entreprises veillent à mettre en place des actions et initiatives qui permettent de simplifier le langage technique auprès des métiers et de les impliquer de manière concrète dans la démarche de gestion des risques liés à la cybersécurité ou à l’informatique.

Dans le cas où une entreprise fait face à une cyberattaque, quel serait votre conseil et quelles mesures correctives pourraient être entreprises?

Actionner l’étape «Recovery» (reprise en français) en se basant sur le standard de cybersécurité NIST Cybersecurity Framework (CSF) publié par US National Institute of Standards and Technology. Celui-ci constitue un ensemble de directives structurées en 5 étapes ou fonctions pour atténuer les risques de cybersécurité. Cette étape vient en dernier et n’est actionnée que si et seulement si les quatre étapes précédentes échouent: identifier, protéger, détecter et répondre aux risques de cybersécurité. J’encourage vivement les entreprises et les décideurs à mettre en place une gouvernance de la cybersécurité efficace et efficiente qui leur permet d’identifier et de comprendre de manière précoce les risques, à établir les contrôles nécessaires qui permettent de sécuriser leur environnement de contrôle interne, à avoir les moyens qui permettent de détecter en temps opportun les incidents de cybersécurité et d’y répondre efficacement. L’étape Recovery est peu décrite même au niveau du NIST CSF Framework ou d’autres standards, et les conséquences pourraient parfois être très graves et impacter la résilience des entreprises et même menacer leur continuité d’activité.

Le mot de la fin.

Je suis amenée à intervenir dans différents pays, aussi bien au Moyen-Orient, en Europe qu’en Afrique. Je reste confiante quant à la capacité des entreprises tunisiennes à se prémunir contre ce risque majeur que constitue le manque de cybersécurité. Et pour cause: il existe en Tunisie un écosystème favorable comprenant des fournisseurs et des intégrateurs de solutions de cybersécurité et des cabinets de conseil spécialisés. En revanche, les prochaines années doivent être celles du sursaut des entreprises tunisiennes, d’abord à travers une plus forte prise de conscience et ensuite par un véritable passage à l’action.

L’article Myriam Khelifi, Partner,Technology Risk & Cybersecurity chez EY : “Pour la cybersécurité, il faut un engagement du top management” est apparu en premier sur Managers.

EY Tunisie et Cybernetica ont conclu un partenariat stratégique qui leur permettra de mettre conjointement leurs expertises en conseils et technologies au service des acteurs publics en Afrique francophone. Ce partenariat vise à développer une offre complète afin d’accompagner leurs clients dans la conception et l’opérationnalisation de leur stratégie digitale, en particulier dans les domaines de l’interopérabilité, de l’identité numérique, de la protection des données personnelles et de la cybersécurité.

EY Tunisie compte à son actif la réalisation de grands projets de transformation digitale du secteur public, notamment en Afrique. Ces succès reposent sur une expertise dans le domaine de la transformation digitale et de l’innovation, sur une structure opérationnelle adaptée à des secteurs en perpétuelle évolution, ainsi qu’une culture d’innovation et de partage des connaissances.

Noureddine Hajji, Country Managing Partner d’EY Tunisie, a affirmé : “Le partenariat avec Cybernetica représente une étape majeure qui nous permettra, ensemble, de relever les défis du secteur public dans la région avec des solutions concrètes, plus efficaces et plus sécurisées.”
Cybernetica dispose d’une expérience unique et de références réussies grâce à la réalisation de projets de transformation digitale à travers l’implémentation de projets d’interopérabilité en Tunisie, en Namibie et au Bénin.

« C’est une base solide qui permettra à EY et Cybernetica d’avancer ensemble dans la région », selon Oliver Väärtnõu, PDG de Cybernetica. “Nous estimons que nos valeurs et notre vision correspondent bien à celles d’EY et il s’agit pour nous d’une excellente occasion de nous lancer dans une région où nous avons déjà prouvé notre expertise”, a déclaré Väärtnõu.

Dans le cadre de ce partenariat, l’union de l’expertise d’EY et de Cybernetica se traduira par la proposition d’offres de digitalisation des secteurs publics communes, innovantes et offrant une « expérience citoyen » optimale.

L’article EY Tunisie et Cybernetica signent un partenariat stratégique visant à proposer des offres de services de digitalisation du secteur public en Afrique est apparu en premier sur Managers.

Lorsqu’on parle d’Intelligence artificielle, de startups et d’innovation, la Tunisie n’est pas le premier exemple qui vient en tête. Pourtant, la Tunisie a une ressource précieuse : ses compétences.

Selma Turki, Executive director AI solutions leader chez EY EMEIA, dresse un tableau global de la place de l’intelligence artificielle dans le monde. Elle axe son intervention sur les chiffres. Elle commence par la situation des USA, 1er pays en IA et en startup. “En 2020, le gouvernement américain a dépensé 4,5 milliards dans l’intelligence artificielle. Entre 2012 et 2018, ils ont dépensé 20 fois plus dans l’IA que toute l’Europe réunie.”

Les USA, leaders incontestés

L’Europe est derrière les USA, malgré la mise à disposition de “fonds propres pour que les pays de l’UE puissent mettre en place des solutions et des stratégies sur l’IA, comme Malte ou l’Estonie”.

En termes de résultats : “46% des investissements engrangés par les USA autour de l’IA viennent du monde entier. 38% sont engrangés par la Chine. L’Europe n’a récupéré que 8% des investissements”. La raison est simple: “18 des 25 clusters de recherche sur l’IA se trouvent aujourd’hui aux USA. 4 sur 25 sont en Chine. 3 sont à Londres”. En termes de fuite des cerveaux, les USA absorbent les doctorants américains : “62% des diplômés en PhD sont absorbés par les GAFA.” Les USA cherchent à être à la pointe de l’innovation : “Quand un nouvel algorithme est développé, toutes les entreprises se demandent comment appliquer cet algorithme”.

Et l’Europe ? Et l’Afrique ?

Les raisons de la place de l’Europe en IA sont nombreuses. Il y a un paradoxe entre le nombre de diplômés et le peu d’application pratique : “L’Europe reste trop théorique. Ils sortent énormément de chercheurs (le double des États-Unis) mais ils restent trop sur le papier”. Également, la législation européenne est plus rigide pour l’IA qu’aux USA : “L’Europe utilise énormément de contraintes et de framework. Une politique européenne a vu le jour. Les règles et régulations sont strictes. Ceux qui n’adhèrent pas à cet accord-cadre autour du Trusted AI, Ethical AI, à partir de 2022 vont commencer à avoir des amendes, qui sont de l’ordre de dizaines de millions d’euros. Donc toutes les startups qui travaillent avec l’AI vont devoir adhérer à ces règles.”

Turki est lucide sur la place de l’Europe et de l’Afrique : “Il est peu probable que l’Europe ou l’Afrique créent le prochain Google, Azur ou Facebook.” Il vaut mieux envisager une autre stratégie, en exploitant ce qui existe déjà : “L’avenir est dans le développement applicatif qui fait utiliser ces infrastructures en e-santé ou dans le développement des vaccins.”

Elle salue le succès de Pfizer BioNTech et l’importance du rôle de l’IA dans la recherche : “Tout le monde connaît les vaccins à base d’ARN messager. Si l’IA ou la force de computation n’étaient pas disponibles, les cycles de vie de 10 ans n’auraient jamais pu être réduits à un an ou 18 mois.”

Seule une petite poignée de pays européens seraient prêts à intégrer l’IA selon McKinsey : “Selon une étude de McKinsey, seuls 9 pays sont prêts pour l’IA, notamment en UE : Belgique, Hollande, Luxembourg, Estonie, Irlande, pays nordiques. Les raisons sont leur infrastructure numérique (cloud), la population hautement qualifiée, les politiques gouvernementales nécessaires pour prendre la tête du peloton en UE.”

La Tunisie, un pays pauvre qui est riche en compétences

Turki montre l’importance des compétences tunisiennes dans l’avancée vers l’IA : “En ce qui concerne la Tunisie, nous avons au moins les compétences. L’UNESCO a sorti une étude qui met la Tunisie en tête par rapport au nombre de diplômés dans le monde du STEM (Science, technology, engineering, mathematics) avec 43% de diplômés. Ensuite vient l’Allemagne avec 35% et l’Inde avec 31%. Il y a donc du potentiel et des capacités. Quand on parle d’IA, ce sont des mathématiciens. Quand on parle de data analyst et de data scientist, ce sont des férus de mathématiques.” Mais souvent, la fuite des cerveaux les absorbe : “Ils vont profiter à d’autres pays malheureusement, qui sont bien contents de les avoir. De la main d’œuvre qualifiée, parfois surqualifiée qui ne leur ont rien coûté, et souvent à rabais.”

C’est pour cela qu’il faut encourager les startups. “Les jeunes sont assoiffés de création et d’innovation. Ils créent leur startup. À travers le startup act, il y a 500 startups répertoriées. Chez EY, nous avons un centre qui ne fait que ça : se concentrer sur les startups. L’idée est de les accompagner et de les aider à créer et innover avec l’entreprise privée.”

Il est important de mettre en place un environnement favorable pour les startups, afin qu’elles n’aillent pas s’installer à l’étranger : “D’ici 5 ans, la plupart des organisations utiliseront des solutions à base d’IA ou d’intelligence cognitive. Ces solutions-là auront probablement été développées par une startup tunisienne qui n’aura pas eu sa chance ici.”

Les applications de l’IA pour les banques et la santé sont utiles et accessibles à la création de projets 100% tunisiens. “Le cœur du développement bancaire, ce sont les applications : le service au citoyen, le service e-bancaire, le service e-health. Il n’aurait pas été possible de transmettre les informations à cette vitesse s’il n’y avait pas eu de digitalisation qui permette la prise de rendez-vous et le follow-up. D’ailleurs, le 1er juillet, l’UE s’est mis d’accord pour avoir le passeport sanitaire mis à disposition grâce à cette digitalisation accélérée.”

Rester prudent sur la sécurité

Avec le développement de l’IA, du cloud computing, la sécurité devient un enjeu majeur. “Pour le computing power et toute la partie cloud, il va falloir des experts. Même s’il y a des experts et que l’on développe des applications, le jour où les applications buggent, comment peut-on protéger et récupérer les informations stockées ? Avons-nous les compétences pour supporter l’infrastructure de ces mondes complètement virtualisés qui sont très complexes ? Nous avons besoin de cette maîtrise. La Tunisie produit ce genre de profil.”

Le lien entre cybersécurité, confiance et AI est un lien fragile, à construire et à préserver. “Aujourd’hui, toute la partie cyber, trust, trusted AI, c’est devenu un sujet au cœur de la plupart des entreprises avec lesquelles je suis impliquée. Ils veulent être rassurés par rapport à leurs modèles de développement.”

Donc la Tunisie a le potentiel pour se développer. Au cours de ce développement, les entrepreneurs et chercheurs doivent garder en tête la sécurité et la confiance.

L’article Selma Turki, EY EMEIA: “Les startups tunisiennes peuvent développer les solutions IA aux entreprises du monde entier” est apparu en premier sur Managers.