La cybersécurité, un enjeu économique pour les entreprises et leurs dirigeants ?

Qu’y a-t-il de commun entre TV5 Monde, Yahoo, Ashley Madison et Renault ?Ces quatre entreprises, aux tailles et secteurs d’activités différents ont toutes été victimes de cyberattaques. Et elles ne sont malheureusement pas des cas isolés. En effet, avec l’avènement de l’internet, est apparu un nouveau risque : le risque numérique. Qu’entend-on par risque numérique ? Quelle est la réalité de ce risque aujourd’hui ? Comment impacte-t-il l’entreprise ? Quels conseils retenir en matière de cybersécurité pour protéger sa société? Autant de questions auxquelles nous allons tenter d’apporter un rapide éclairage.

 

Quelques chiffres clés pour planter le décor

  • 4165 cyberattaques détectées en France en 2016 (Source The Global State of Information Security)
  • 82 secondes = temps qui s’écoule entre l’envoi d’une campagne de phishing et le premier clic (Source Data Breach Investigation)
  • 4400 réservistes viendront renforcer la cyberdéfense d’ici 2019
  • 59% des entreprises ont augmenté leurs cyberdépenses en 2016
  • 205 milliards d’emails échangés quotidiennement dans le monde en 2015 (Source Radicati Group)
  • 20 milliards d’euros ou 4% du CA annuel mondial. L’amende maximale prévue en cas de non respect de la réglementation européenne sur les données personnelles

 

Le numérique a pris le pouvoir sur nos vies économiques et sociales

Comment tirer profit du meilleur de cette évolution ? Plusieurs fils peuvent être tirés mais incontestablement la sécurité numérique est l’une des clés essentielles. La cybersécurité est stratégique car de la protection de l’entreprise en découlent son développement et sa survie. En effet, une entreprise attaquée peut perdre en un temps record des millions, voir son cours de bourse impacter violemment, ses clients fidèles la quitter, ses dirigeants licenciés et ses collaborateurs inquiétés voire démotivés. Devenir un champion de la sécurité numérique est donc le graal de toute entreprise, quel que soit son secteur d’activité et sa nationalité.

Ainsi le dirigeant d’entreprise doit considérer non seulement la sécurité de son système d’information sous l’angle technologique mais bien intégrer la composante stratégique et d’image de la sécurité. Malheureusement même si cela est de moins en moins vrai, beaucoup de dirigeants prennent encore trop souvent en compte la sécurité numérique au détour d’un incident informatique grave. Or ce manque de clairvoyance peut entraîner la perte irrémédiable de l’entreprise. Trop longtemps la sécurité informatique n’a été traitée que sous une approche technique, très éloignée des centres d’intérêt des dirigeants. Avec l’ère de la digitalisation massive, la cybercriminalité est en augmentation exponentielle. Nul n’est épargné et particulièrement pas les grandes entreprises. Pour mieux se préparer à la crise cyber, une nouvelle profession émerge dans l’entreprise : le responsable sécurité.

 

Le sujet de la cybersécurité est complexe

Il nécessite de disposer d’une connaissance fine des mutations des technologies et des usages, la transformation de l’écosystème des entreprises et des réglementations en perpétuelles évolutions. Toutefois, il est impératif que la cybersécurité soit un sujet plus lisible de tous, du PDG au salarié le moins gradé.

Informer et échanger sur les bonnes pratiques sont donc une absolue nécessité, à laquelle veille notamment le Syntec Numérique, premier syndicat professionnel du numérique. Citons également les Assises de la sécurité et des systèmes d’information dont les objectifs sont d’assurer la prévention en sensibilisant à la sécurité des systèmes d’information et d’alerter en faisant comprendre les enjeux des risques numériques.

 

Quels sont les différents risques numériques ?

  • APT (Advanced Persitent Threat) : c’est un piratage informatique visant à placer du code malveillant personnalisé sur des postes de travail, en restant le plus longtemps possible inaperçu.
  • Défiguration de sites web : C’est une attaque qui transforme le contenu d’un site web donnant lieu à l’affichage d’un écran noir ou encore à des revendications politiques ou idéologiques des hackers
  • Déni de service : C’est une attaque qui se matérialise par l’indisponibilité du serveur, en le saturant avec de multiples requêtes.
  • Exfiltration et divulgation de données : C’est une infiltration des hackers dans les réseaux afin de s’emparer de données confidentielles et les publier. L’objectif est de porter atteinte à l’image du site pour démontrer sa faible sécurisation.
  • Malvertising (malicious advertising) : c’est un programme informatique développé dans l’intention de nuire.
  • Piratage de firmwares : c’est le piratage de micrologiciels intégrés dans des softwares afin de rendre un appareil inopérant ou pour s’introduire dans un réseau
  • Phishing (hameçonnage) : c’est une technique qui consiste à usurper une identité pour obtenir des informations personnelles à des fins criminelles
  • Ransomware (rançongiciel) : c’est un programme informatique visant à bloquer l’accès à des données tant qu’une rançon n’est pas payée.
  • Watering hole : appelée attaque par point d’eau, elle repose sur les habitudes de navigation des individus. Le hacker peut utiliser des informations liées à un collaborateur sur les réseaux sociaux et en faire un usage malveillant.

 

Qui est concerné ?

La Cybercriminalité est de plus en plus performante, très organisée, industrialisée et internationalisée. Elle touche tout le monde sans exception et est très lucrative (investissement faible pour un ROI très rentable). Les pirates peuvent être assimilés à des entrepreneurs, collaborant avec des sous-traitants/partenaires et évoluent dans le dark web, la face sombre du web. Pour les hackers, attaquer les grands comptes est plus compliqué que les PME mais le jeu en vaut la chandelle.

On peut distinguer :

  • les attaques communes, qui visent quotidiennement tout le monde (entreprises, particuliers, administrations)
  • des attaques ciblées qui se traduisent par des agressions majeures visant une entreprise en particulier.

 

Quelles sont les motivations des attaquants ?

Les motivations des attaquants sont multiples.

Contrairement à ce que l’on pourrait croire, l’argent n’est pas la seule motivation des pirates. L’espionnage est également une cause importante et n’est pas réservée aux Etats mais à toute organisation à la recherche d’informations confidentielles sur un concurrent. Une attaque peut être également engendrée dans le but d’écorner l’image d’une entreprise, la déstabiliser ou encore la manipuler. Enfin le « vandalisme cyber » vise la dégradation avec comme mobile la vengeance ou encore la recherche de performance du hacker afin d’asseoir sa réputation.

 

Qui sont les attaquants ?

Ils peuvent être externes mais aussi internes à l’entreprise

Prestataires, ex-salariés ou encore collaborateurs peuvent être à l’origine de fuites ou de malveillances. Intentionnellement ou par surprise.

 

La vision d’un juriste spécialiste des questions de droit numérique

Interview vidéo de Martin Pailhes

Vous l’aurez compris. Aucune entreprise n’est épargnée par les hackers et même si les média se font l’écho de cyber attaques, la majorité d’entre elles ne sont pas divulguées.

 

Comment les entreprises peuvent-elles se protéger?

 La cybersécurité représente un coût pour les entreprises mais rien comparer aux dégâts que la cybercriminalité peut engendrer. Il convient de mettre en place quelques bonnes pratiques pour mieux appréhender/éviter le danger.

  1. Bien connaître son RSSI
  2. Mettre le thème de la cybersécurité à l’agenda des Comex pour mieux les sensibiliser
  3. Mettre en place régulièrement des campagnes d’informations à l’égard de tous les collaborateurs afin d’adopter les bons comportements
  4. Etre en capacité pour les dirigeants d’évaluer l’intensité des attaques subies par l’entreprise

 

Quelles questions les dirigeants doivent-ils se poser en matière de cybersécurité ?

Afin de bien définir les priorités stratégiques et budgétaires en matière de cybersécurité, les dirigeants doivent se poser 5 questions.

  • Quelles sont les poches de vulnérabilité de l’entreprise en listant les 5 plus grands risques, avec l’aide du RSSI ?
  • La dernière cyberattaque figurait-elle dans la cartographie des risques établie par l’entreprise ?
  • A quand remontent le dernier audit et les tests d’intrusion ?
  • L’entreprise est-elle préparée à une cybercrise ? Un plan d’attaque majeure a-t-il été anticipé ?
  • Quelle est la responsabilité civile et pénale du dirigeant en cas d’attaque du système d’information, et notamment en cas de divulgation de données personnelles ?

 

Comment se protéger contre une attaque informatique ?

Il n’y a pas de recette miracle mais ces quelques éléments peuvent contribuer à améliorer la cybersécurité de l’entreprise :
• Le téléchargement de patches de sécurité dès que possible.
• Un niveau limité des permissions données aux autres utilisateurs des systèmes de l’entreprise, en empêchant l’installation des applications et logiciels par exemple.
• L’utilisation systématique de logiciels antivirus et un pare-feu régulièrement mis à jour.
• L’utilisation de différents mots de passe constitués de multiples caractères numériques et alphabétiques, avec des majuscules et minuscules.

 

Quelle organisation optimale mettre en place ?

Ce qui est impératif, c’est de déterminer la place la plus adéquate pour permettre au Directeur de la Sécurité Informatique d’être efficace. Ainsi, suivant l’organisation, il pourra être rattaché à la Direction Générale, à la Direction des risques voire à la DRH.

Son mandat doit être clair, son niveau hiérarchique élevé c’est-à-dire proche des instances dirigeantes et son activité transversale car tous les métiers de l’entreprise sont concernés par la sécurité des systèmes d’informations.

 

Quelle est la mission d’un DSI ?

 Le DSI définit et met en œuvre la stratégie et la politique de sécurité de l’entreprise.

Il n’est pas simple pour l’entreprise de trouver ce type d’experts car la cybersécurité est une discipline assez nouvelle.

 

Quel budget alloué à la cybersécurité ?

D’après l’ANSSI (Association Nationale de la Sécurité des Systèmes d’Information), la cybersécurité doit représenter entre 3 et 10% du budget informatique. Ce dernier se décompose en 3 postes : la cyberdéfense, le maintien et l’évolution des moyens techniques.

Si le cloud, c’est-à-dire la gestion en réseau des données confiée à un tiers, permet de réduire de façon considérable les budgets informatiques, il s’accompagne d’un accroissement des risques pour les entreprises. En décembre dernier, l’ANSSI, après plus de deux ans de travail, a publié la première partie de son référentiel, qui doit aider à certifier les prestataires cloud de confiance. Il fixe les exigences de sécurité à remplir pour que des offres d’infrastructure (IaaS), de plateforme (PaaS) ou de logiciel comme service (SaaS) soient considérées de confiance.

La cybersécurité contribue aussi à la rentabilité de l’entreprise. C’est la raison pour laquelle elle doit se voir allouer un budget spécifique, des objectifs et des indicateurs au même titre que d’autres départements de l’entreprise. Les indicateurs permettent de mesurer les risques en fonction de la maturité de l’organisation, la protection du dirigeant, la sensibilité du patrimoine informationnel, l’exposition aux menaces cyber et enfin le niveau de résilience du SI.

La mise en œuvre d’une politique de sécurité, la mise en conformité réglementaire, l’identification des incidents opérationnels, les actions de sensibilisation et de formation et l’évaluation d’un budget spécifique sont donc des aspects essentiels à prendre en compte.

 

Et du côté juridique, que se passe-t-il ?

Les dangers en matière de cybersécurité ont été pris en compte par les pouvoirs publics et la loi évolue constamment.  Adoptée le 6 juillet 2016, la directive NIS (Network and Information Security) instaure des règles communes entre Etats et favorise la coopération. Pour les entreprises considérées comme OIV (Opérateur d’Importance Vitale) c’est-à-dire celles dont les installations sont considérées comme indispensables à la survie de la Nation, ils doivent renforcer la sécurité de leur SI pour se protéger au mieux des actes malveillants.

Enfin, en mai 2018 entrera en application le règlement européen de protection des données à caractère personnel, qui s’inscrit dans la droite ligne de la loi française « Informatique et Libertés ». Ainsi, toutes les données permettant d’identifier un individu devront être protégées.

Tips pour se protéger en matière de cybersécurité

 

En conclusion,

Vous l’aurez compris, la sécurité numérique représente un enjeu économique de taille pour les entreprises et leurs dirigeants. Comme le rappelaient récemment Elodie Chermann et Anne Rodier dans le journal le Monde, en deux ans, le nombre d’offres d’emploi a presque quadruplé dans le secteur de la sécurité informatique.  Les entreprises sont donc prêtes à investir fortement, notamment en ressources humaines, pour réduire les coûts des cyberattaques. La cybersécurité est au cœur des priorités de tous : Etats, entreprises, particuliers. La transformation numérique cybersécurisée et durable s’avère donc définitivement une histoire collective. Alors agissons ensemble pour bâtir un monde numérique au service du progrès de l’humanité.

 

À propos de l'auteur :

Femme de communication et manager depuis plusieurs années dans l’industrie bancaire, membre du board de l’Association BNP Paribas MixCity, marraine de l’Association Nos Quartiers ont du Talent, adepte de la citation de Gandhi « Soyez le changement que vous voulez voir dans le monde », intéressée par #digital #diversité #marketing #communication #art

  • Isabelle MOUSSA

    MERCI @Ariane pour cet article très complet, a-t-on une idée de quelle en treprise française a le plus/mieux investi en cybersécurité ?

  • Garance Oliver

    Merci Ariane, encore une fois un super éclairage que ce que nos entreprises vivent au quotidien!

  • marta segal

    Merci Ariane, c’est très intéressant, on comprend mieux les enjeux autour de cette problématique d’actualité !

  • GALLIANO

    Cet excellent article de synthèse nous rappelle que les risques informatiques liés à des agressions externes ne sont pas des fictions, mais malheureusement avec le développements des technologies recentes, des menaces réelles et concrètes pour nos entreprises. La protections des environnements, notamment les nouveaux clouds, et la bonne utilisations des blockchains sont entre autres des pistes à travailler pour le futur.