Le Clusif est une association loi 1901 qui réunit les experts français de la sécurité des systèmes d'information et de la cybersécurité. Il propose à ses membres un lieu d’échange et de rencontre au service d’une SSI efficace autour de deux collèges d’experts : les “offreurs” de solutions de sécurité et les “utilisateurs” issus de tous les secteurs de l’économie.
Elaborer et diffuser les bonnes pratiques
Le Clusif réunit plus 550 organisations (publiques et privées) et favorise le brassage des expériences et l'échange d’idées au sein de groupes de travail (17 sont actuellement ouverts autour de différents thèmes comme la protection des données), de publications et d'études de référence (MIPS "Menaces Informatiques et Pratiques de la Sécurité", Méthode Mehari, etc.) et de conférences thématiques (dont Panocrim), afin d'élaborer, puis de transmettre (aux professionnels comme aux particuliers) les bonnes pratiques en matière de sécurité de l’information et donner une tendance sur l’année à venir. Et cette année, l’IA et la professionnalisation des groupes de cybercriminels sont au cœur des préoccupations.
Un plan stratégique pour décloisonner la cyber-sécurité
“Le Clusif a également lancé un plan stratégique baptisé Impulsion 2025”, précise Benoît Fuzeau, le Président de l’association et RSSI à la Casden Banque Populaire. “Et celui-ci est organisé autour de 3 points :
- Fédérer en renforçant le réseau de CLUSIR en régions et à l’international pour une meilleure coordination.
- Développer et faire évoluer nos contenus. Il existe beaucoup de littérature dans le domaine de la cyber-sécurité, mais elle est peu connue. Nous souhaitons aussi nous adresser aux PME et aux ETI qui sont moins matures que les grands groupes sur ces sujets.
- Sensibiliser en se tournant résolument vers les métiers pour trouver des leviers d’information et de dialogue plus opérants.
“La cybersécurité doit être le sujet de tous”, insiste-t-il. “Surtout avec l’entrée en vigueur de la directive NIS2 (en français : sécurité des réseaux et des systèmes d'Information) et de la réglementation européenne DORA (Digital Operational Resilience Act)”.
En effet, ces sujets ne doivent plus être uniquement l’apanage des grands comptes. Cela concerne aussi les PME. Si l’on en croit certains chiffres, une PME sur deux touchée par une cyberattaque dépose le bilan dans les 12 à 18 mois qui suivent. Si cette affirmation est difficilement vérifiable, FranceNum confirme que le risque de défaillance de l’entreprise augmente d’environ 50 % dans les 6 mois qui suivent une cyberattaque. D’où l’urgence de correctement se protéger et de sensibiliser l’ensemble des parties prenantes aux risques d’origine cyber.
Une confiance à renforcer
Ces risques se sont accentués ces dernières années avec le développement des usages du cloud, de l’hyperconnexion et le manque de vigilance des utilisateurs. Bon nombre d’entreprises pensent d’ailleurs à tort qu’en travaillant dans le cloud et en déportant la gestion de la sécurité de leurs données auprès de leurs fournisseurs cloud, elles ne risquent rien. Ce qui n’est pas tout à fait réaliste. “Avec le cloud, les entreprises déposent leurs données sur les infrastructures d’un tiers et finalement en perdent le contrôle. Beaucoup oublient cette réalité avec la praticité qu’offre le cloud et ont un sentiment de confiance, souligne B. Fuzeau. Mais combien ont réellement pris le temps de lire en détails les clauses du contrat qui les lie avec leurs fournisseurs de services cloud ? Combien se sont réellement posées la question de la souveraineté des données et se sont interrogées sur la façon dont elles pourraient récupérer leurs données en cas d’insatisfaction ou de migration vers un nouveau prestataire ? Combien ont-elles identifié les risques qui pèsent sur leurs infrastructures IT et leurs données ?”
Le juste équilibre entre “coûts” et “risques”
La sécurité constitue un poste de coûts pour les entreprises, il est donc important de trouver le juste équilibre entre “coûts” et “risques”. Des risques qui s’articulent aujourd’hui autour de 4 piliers : la disponibilité, l’intégrité, la confidentialité et la traçabilité des données. Garder le contrôle de ses données et mieux gérer le cloud, doit donc faire partie des priorités des entreprises. D’autant qu’il existe aujourd’hui des certifications pour faire le choix d’un prestataire et renforcer la confiance. La certification SecNumCloud de l’ANSSI en fait partie.
S’entraîner pour faire face aux cyber-crises
Mais la cybersécurité n’est pas qu’un sujet technique, mais c’est aussi un sujet de gouvernance. “Nous serons tous un jour ou l’autre victime d’une attaque cyber”, indique Benoît Fuzeau. Voilà pourquoi nous insistons pour que les entreprises se préparent à cela et s'entraînent. Nous organisons régulièrement des exercices de crise baptisés “Ecrans”. Cette simulation vise à préparer les participants aux crises avec des scénarios réels. Le dernier exercice a été spécialement conçu autour des JO 2024. Les participants étaient confrontés à deux attaques : un rançongiciel et une attaque DDOS. Le temps d’une après-midi, ils ont été plongés au cœur d’une crise cyber majeure et ont dû collaborer pour faire face à cette menace. “Cela leur a permis d’identifier les réflexes à avoir lors de ce type d’événements”, ajoute le Président du Clusif.
Les cybermenaces font donc désormais partie du paysage des risques à prendre en charge pour les entreprises. “Voilà pourquoi j’aimerai que l’on parle dorénavant de risques d’origine cyber, et pas uniquement de cybersécurité, qui est perçue comme un sujet technique pris en charge par une équipe spécialisée, souligne Benoît Fuzeau. Le risque d’origine cyber, lui, est l’affaire de tous !”.
![](https://www.archimag.com/sites/archimag.com/files/styles/vignette/public/web_articles/image/data_et_mesure_impact_environnement.jpg?itok=hN25rSbu "Toute mesure commence par la collecte de métadonnées. Celle-ci nécessite l'installation de "capteurs" — virtuels ou réels — afin de mesurer ces impacts non financiers (Articon/Freepik)")
