L’Émirat a rapidement gagné en maturité dans le domaine cyber, tant dans le secteur public que privé. Il ne lui a fallu qu’un an (de 2019 à 2020) pour passer du 33e au 5e rang, selon l’indice mondial de cybersécurité.

À quoi ressemble le paysage réel de la cybersécurité aux Émirats arabes unis, et reflète-t-il les efforts qui ont été investis récemment ? En 2019, le pays a fondé sa stratégie nationale de cybersécurité. Puis, en 2020, le cheikh Hamdan bin Mohammed Bin Rashed Al Maktoum, prince héritier de Dubaï et président du Conseil exécutif, a lancé le Dubai Cyber Index pour aider les entités gouvernementales dans leur parcours de cybersécurité.

Cela a été suivi de plusieurs règlements, certains de portée générale, comme le règlement sur la sécurité de l’information du Dubai Electronic Security Center (DESC), et d’autres plus spécifiques au secteur, comme la norme d’Abu Dhabi sur l’information et la cybersécurité dans le secteur de la santé.

Andrew Schumer, directeur du conseil en technologie et cybernétique chez Grant Thornton aux Émirats, explique la raison de cette amélioration rapide : « Alors que la maturité de la cybersécurité aux EAU et dans la région était auparavant inférieure à celle de l’Europe, les pays du Conseil de coopération du Golfe en général, et les Émirats arabes unis en particulier, ont compris que leur région est confrontée à un facteur de menace unique, ce qui les rend plus exposés aux attaques des menaces persistantes avancées [APT] que leurs pairs en Europe. »

Il ajoute que cela a conduit à la rédaction et à la mise en œuvre de réglementations en matière de cybersécurité qui sont de classe mondiale, et qui ont été comparées à leurs homologues européens : « Ce flux de réglementations a certainement contribué à améliorer la cybersécurité dans le secteur privé et public, et les clients n’optent plus pour des audits de type checkbox, ils cherchent maintenant à s’améliorer non seulement du côté de la conformité, mais aussi du côté de la sécurité, les budgets de cybersécurité ayant fortement augmenté ces dernières années. »

L’un des petits inconvénients de cette situation est le rythme auquel les entreprises doivent travailler pour respecter les délais réglementaires : « Alors que les entreprises avaient l’habitude de prendre les réglementations et les normes à la légère et de ne les considérer que comme des éléments agréables à avoir, ces réglementations sont désormais obligatoires et les organisations sont soudainement confrontées à des délais qui seront difficiles à respecter, et un grand nombre d’entre elles pourraient être confrontées à des amendes ou des pénalités. », ajoute Andrew Schumer.

En outre, les délais réglementaires ne sont pas le seul obstacle auquel les organisations sont confrontées. Un responsable régional de l’un des plus grands fournisseurs émiratis de services de cybersécurité, qui a préféré garder l’anonymat, évoque les défis rencontrés par les entreprises en matière de cybersécurité : « Le premier et le plus gros problème reste l’augmentation du personnel, surtout lorsqu’il s’agit de l’attrition des SOC. Les analystes SOC de niveau 1 sont principalement difficiles à retenir. Ils partent rapidement vers une meilleure opportunité car il y a une forte demande pour les analystes de niveau 2 et 3. »

Un autre défi réside dans le fait que les clients ne connaissent pas les cadres, les normes et les réglementations applicables. Cette même source anonyme souligne que si les clients se concentrent sur les réglementations imposées par le gouvernement, telles que le DESC et l’ISR (Information Assurance Regulation), ils ne réalisent souvent pas qu’ils doivent également mettre en œuvre d’autres cadres et réglementations, tels que PCI-DSS [Payment Card Industry Data Security Standard], le RGPD et le Cloud Controls Matrix de la Cloud Security Alliance. Tout en développant un cadre de contrôle unifié qui couvre toutes les exigences applicables.

Au-delà des défis, la même source anonyme confirme que les Émirats arabes unis sont aujourd’hui au même niveau que d’autres régions, voire meilleurs. « La maturité du pays en matière de cybersécurité a atteint des niveaux très élevés dans de nombreux domaines, y compris la technologie opérationnelle. Ils disposent de l’un des CERT les plus avancés au monde. Si les plus gros investissements en matière de cybersécurité sont observés dans les secteurs de la défense, de la finance, des télécommunications et des soins de santé, les budgets consacrés à la cybersécurité dans la plupart des organisations ont récemment augmenté. »

Toutefois, ces investissements doivent être soigneusement planifiés et orientés. Marc Kassis, fondateur et directeur général d’InoGates, estime que ce n’est pas le cas : « La plupart des organisations du secteur privé qui cherchent à investir dans la cybersécurité investiront d’abord dans la mise en œuvre de solutions logicielles et matérielles sans nécessairement recourir à des services de conseil dans un premier temps. Elles s’orienteront vers un conseil renforcé par la suite, lorsqu’elles ressentiront encore la menace et si elles sont suffisamment importantes pour disposer d’un budget pour des services de conseil. »

A propos du secteur public, Marc Kassis ajoute que « le gouvernement des Émirats arabes unis est de plus en plus conscient de l’importance d’investir dans une approche holistique qui comprend également des conseils et une planification stratégique en matière de cybersécurité. En un mot, la maturité de la cybersécurité dans le secteur public des EAU serait équivalente à celle de ses pairs européens et, dans certains cas, même plus mature en raison d’un financement hautement disponible, tandis que le secteur privé n’est certainement pas encore comparable à ses pairs en Europe. »

Concernant les partenariats entre les Émirats arabes unis et la France dans le domaine de la cybersécurité, Marc Kassis rappelle que le gouvernement émirati accueille favorablement la diversité et la compétitivité dans tous les secteurs. Cela est particulièrement vrai pour la cybersécurité et pour les entreprises françaises. « Cela s’est traduit par plusieurs initiatives construites conjointement avec la communauté d’affaires française des EAU ainsi que l’Ambassade de France », a-t-il déclaré.

Mais pour qu’une entreprise française réussisse sur ce marché, Marc Kassis énumère plusieurs points clés : « Les entreprises françaises de cybersécurité sont les bienvenues aux EAU mais doivent assimiler quelques éléments sur le marché local et la manière de s’associer pour réussir. Tout d’abord, il est évident que le marché des EAU est très compétitif, il faut donc faire preuve de patience et d’investissement. Deuxièmement, il faut trouver le bon go-to-market et s’en tenir à son plan de développement. Troisièmement, il faut choisir soigneusement les partenariats que vous créez, les soutenir et leur faire confiance. Enfin, assurez-vous d’identifier la solution ou les différentiateurs de valeur commerciale par rapport aux solutions existantes. »

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.