Cybersécurité : l’humain est la meilleure arme

Xerfi Canal TV a reçu Michel Mondet, président d’Akeance Consulting, qui livre son témoignage : ” L’humain est bien la meilleure arme contre la cybersécurité.

Michel Mondet, vous êtes président d’Akeance Consulting et je vous reçois aujourd’hui pour évoquer la fraude, la cybersécurité. Ce sont des sujets qui sont devenus incontournables. Quelques chiffres : depuis 2010, le nombre d’attaques a augmenté de 176% dans le monde. Autre chiffre : les fraudes au président, elles, représentent 400 M€ en France.

Que vous évoquent ces chiffres ?

La croissance, elle existe pour la fraude, on en est certain. C’est vrai pour la cybersécurité, ça devient un peu moins vrai sur la carte bleue. La fraude à la carte bleue a tendance à diminuer et on est plutôt de l’ordre du milliard d’euros en France.

Ca reste conséquent.

Ca reste conséquent, et par ailleurs, il y a toutes les fraudes qu’on évalue moins bien, parce que ce sont les fraudes qui sont sur la base de complicité, sur la base « d’arrangements entre copains », si vous voulez. Donc les sujets sont, bien évidemment, de se dire comment on va protéger et essayer de minimiser au plus l’ensemble de ces fraudes, qu’elles soient évidemment plus ou moins répréhensibles.

Pour les minimiser, des actions publiques sont menées, je pense notamment à la loi de programmation militaire en 2014, qui oblige les entreprises à déclarer des incidents si elles ont le moindre soupçon, vous pensez que c’est une réponse appropriée ?

Oui, oui, c’est une bonne réponse. C’est une bonne réponse mais le public fait son travail. Le public aide les entreprises à se protéger de l’extérieur et les entreprises participent de manière très collaborative à cette protection avec des pouvoirs publics contre les hackers sur la cybersécurité, etc. Il y a un autre sujet, c’est : qu’est ce qu’on fait à l’intérieur de l’entreprise, par soi-même, par les dirigeants et par les actionnaires, pour effectivement se protéger soi-même sur ces fraudes.

C’est quoi cette protection interne ?

Vous savez, la protection, c’est d’éviter qu’on ait des « arrangements entre copains », c’est-à-dire des détournements de fonds sur la base de complicité, premier sujet. Là, je pense qu’il faut très vite regarder les sujets de trésorerie. Les sujets de trésorerie ne sont jamais assez précis, assez fins, pas régulièrement soumis en termes de fréquence à une observation critique, si vous voulez. Il y a des process, tout cela existe. Il y a des reportings bien évidemment. Il y a des cash pools, il y a tout ce que vous voulez, mais il n’y a pas forcément une surveillance avec un œil critique négatif sur la trésorerie. C’est pareil pour les budgets. Les budgets, qu’on soit dans une business unit ou dans une filiale internationale, à partir du moment où l’on respecte le budget, on a évidemment l’œil moins critique. On va aller moins vérifier s’il n’y a pas un détournement de stocks, un détournement de déchets ou de rebut, si vous voulez, sur des matières premières, qui ont de la valeur. Et puis, troisièmement, vous avez un contrat en interne qui fait son affaire, qui fonctionne mais je pense que sur l’interne, il faut renforcer sérieusement la partie opérationnelle du contrôle interne pour le rendre un peu plus contrôleur et un peu plus punitif. Et puis après, il restera le grand sujet de la corruption, qui est une fraude internationale. Il y a très peu de pays finalement où on n’est pas aussi corrompu de manière aussi automatique et systématique. Ces sujets-là sont compliqués, il faut tout autant les détecter. Ça fait tout autant partie de la fraude que les problèmes de cybersécurité.

Donc c’est au manager de s’assurer que le contrôle se renforce dans les entreprises, pour éviter ce genre de problèmes.

Oui, absolument. C’est au manager à monter des équipes de contrôle plus rapides, des interventions rapides, plus directement efficaces d’une part, et d’autre part, il faut penser aux individus, il faut aussi essayer de faire que les individus tournent de poste en poste. On sait très bien que la fraude, elle concerne des individus qui sont en poste depuis très longtemps dans les mêmes fonctions. C’est difficile à faire, mais ce sont le genre de choses qu’il faut faire. Et puis, par ailleurs, il faut quand même s’intéresser aux individus, comme dans toute autre entreprise, pour faire en sorte qu’on se dise « on est en confiance » ou « on n’est pas en confiance », avec a priori qu’on n’est pas en confiance.

Et bien, merci Michel Mondet de cet éclairage. Je rappelle que vous êtes président d’Akeance Consulting, merci.