Au cours du premier semestre 2017, Trend Micro a détecté plus de 80 millions de menaces de ransomware dans le monde. Ce chiffre met en lumière l’urgence qu'il y a à placer la sécurité des systèmes d’information au cœur des priorités des entreprises.
Dans ce contexte, l’environnement légal et réglementaire évolue et va imposer d’importantes obligations aux entreprises qui traitent des données personnelles ou commerciales.
Les conséquences financières d’une défaillance criminelle ou accidentelle sont passées au premier rang des préoccupations des grandes entreprises, et pourtant les pratiques sont encore loin d’être exemplaires et les failles restent multiples. Christian Belval, directeur du développement chez Verligue revient sur ces questions.
Pourquoi cette accélération constante des cyberattaques ?
En une année, elles ont progressé de 67 %, quand leur coût pour l'économie globale est estimé entre 375 et 575 milliards de dollars.
Quatre facteurs expliquent pour partie la ruée vers ce nouvel eldorado pour cybercriminels :
- la croissance très rapide de data stockées par les entreprises rend de plus en plus complexe leur sécurisation ;
- l’absence de maîtrise des solutions d’externalisation (Cloud Computing) par les PME accroît leur vulnérabilité ;
- le blocage des systèmes est à la portée d’apprentis criminels qui achètent des solutions en mode SAS sur le darkweb pour rançonner leurs victimes ;
- enfin, l’exposition à internet et aux réseaux sociaux finit d’achever de planter le décor de cette « murder party » dont les data sont l’enjeu. Le mobile du crime : les informations clients récupérées ne cessent de prendre de la valeur.
Quelles responsabilités ?
Les équipes dirigeantes d’entreprises font actuellement face au paradoxe de la transformation : alors que fin 2016, plus d’un tiers des ETI avaient enclenché un plan de digitalisation, à peine plus de 20 % d’entre elles se déclarent concernées par la cybersécurité.
Les solutions de protection sont de plus en plus complexes et interdépendantes, rendant parfois le sujet opaque pour les dirigeants.
Au-delà de l’impact opérationnel, plusieurs dirigeants et administrateurs ont vu leur responsabilité mise en cause, ainsi que celle de leur entreprise. Dans certains cas, ce type de risque a pu provoquer, à terme, leur faillite pure et simple.
La question « Quand et combien va nous coûter une cyberattaque ? » est un sujet d’actualité que doivent affronter et traiter les comités de direction.
Pourquoi la cybercriminalité est aussi un enjeu d’image ?
“It takes twenty years to build a reputation and five minutes to ruin it. If you think about that, you'll do things differently.” La formule de Warren Buffet résume assez bien la situation ; et les deux dernières attaques de ransomware ont démontré :
- l’immédiateté et la rapidité de la diffusion de l’information par les pirates, qui sont aussi des experts de la communication ;
- l’effet amplificateur, l’impossibilité de contenir l’information, l’absence de frontières, la rapidité de la viralité de l’information sur le piratage ;
- « l’irréalité » du dommage : difficile de faire un point sur la situation pour présenter des faits.
Comment aborder la cybersécurité ?
Dans un monde idéal, les entreprises auraient des ressources illimitées leur permettant d'instituer des mesures de sécurité tout en poursuivant leur croissance et leurs programmes d'innovation.
Loin de cette utopie, l'élimination des risques semble de plus en plus inenvisageable. C’est le réalisme qui prédominent et le concept de cyber-résilience, qui vise le financement couplé du niveau raisonnable de protection et de la réparation des cyberpréjudices. Encore faut-il identifier les priorités...
Quels sont les immanquables ?
Parce que le facteur humain est la source de plus de 60 % des failles de sécurité, la lutte contre les cyber-risques commence par la prise de conscience de tous les intervenants (internes et externes) menant à la vigilance et aux bons réflexes.
- La charte informatique doit définir les règles et limites d’utilisation des outils numériques à faire appliquer tant aux collaborateurs de l’entreprise qu’à ses prestataires pour éviter qu’ils deviennent les maillons faibles de la protection mise en place face aux risques cyber.
- Ressources humaines et habilitations : DSI et RH doivent collaborer pour former les équipes mais aussi pour définir les profils utilisateur et les habilitations nécessaires à la réalisation de leurs tâches. Et même si cela va sans dire, suspendre les accès à tous les anciens collaborateurs dès leur sortie.
Quelles solutions d’assurance ?
Selon PwC, moins de 5 % des entreprises françaises disposent d'une cyberassurance.
« Se protéger des cyber risques n’est plus une option pour les entreprises. Quelle que soit leur taille, l’enjeu économique est vital : il s’agit de préserver vos savoir-faire, vos compétences, vos données sensibles. En un mot, votre compétitivité. » (Bernard SPITZ, Président de la Fédération Française de l’Assurance).
Il s’agit ici de compléter les couvertures traditionnelles par une solution d’assurance dédiée capable de garantir l’indemnisation des dommages subis et causés par une atteinte à la disponibilité des systèmes d’information, l’intégrité des systèmes ou encore la confidentialité des données.
Deux domaines doivent être garantis :
- les dommages et pertes pour les incidents subis par son entreprise et leurs conséquences sur son activité ;
- les responsabilités pour indemniser les préjudices subis par ses clients et fournisseurs.
Les retours d’expérience démontrent que l’indemnisation seule ne suffit pas ; il faut pouvoir agir très vite. Aussi, cela implique que les dirigeants puissent disposer de différents services d’assistance et avoir accès à un panel d’experts en gestion de crise (informatique, juridique et perte d’image).
Quelles actions des pouvoirs publics ?
Le risque cyber interpelle jusqu'à la souveraineté nationale. A l’occasion du Digital Single Market, Common Digital Security 2017, Mounir Mahjoubi, Secrétaire d’État français au numérique, a présenté les 3 axes de la stratégie européenne dans ce domaine :
- soutenir l'émergence d'un secteur privé fort dans les différents domaines de la cybersécurité ;
- construire au niveau européen un cadre de régulation de qualité, dont le système de certification pourra faire référence dans le monde ;
- renforcer les capacités d'action des États (infrastructures, gestion de crises, sensibilisation des entreprises, administrations et populations...).
Guillaume Poupard, directeur général de l’Agence nationale de sécurité des systèmes informatiques (ANSSI), considère que l'attaque la plus dévastatrice est « celle que l'on ne voit pas. Des attaques très discrètes qui rentrent sur le réseau pour voler des informations. Ce vol d'informations qui peut durer des années ». Il invite les entreprises à « anticiper » les piratages et vols d'informations. Plus alarmant, il estime qu’une chose est certaine : « On va avoir des attaques toujours plus violentes, toujours plus intenses, plus répétées. »
C’est par la cohérence des actions entre les équipes de direction et la direction des systèmes d’information, la sensibilisation et la formation des collaborateurs et enfin la mise en place d’une stratégie de cyber-résilience que les dirigeants pourront préserver leurs systèmes et data, et optimiser la protection de leur entreprise.
Par Christian Belval, Direction des spécialités, Verlingue
Voir aussi : Cyberattaques : les PME ne sont pas épargnées !