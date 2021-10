Cette fin d'année est pour le moins anxiogène pour les entreprises. Notamment avec la recrudescence des cas de cyberattaques.

Le secrétaire général de la Commission nationale de l'informatique et des libertés (CNIL), Jean Lessi, a récemment rappelé devant un parterre de dirigeants d'entreprise, de directeurs juridiques et de directeurs des systèmes d'information réuni à Station F, que lors des six derniers mois, 110 millions d'identités américaines ont été compromises par des opérations de vols de données.

Un chiffre considérable qui fait frémir les patrons, notamment à l'approche de l'entrée en vigueur officielle du Règlement général européen sur la protection des données (RGPD), prévue le 25 mai 2018, qui pose un cadre mondial de responsabilité et de sécurisation des données personnelles sur la toile.

© Kroll Ontrack

La multiplication des ransomwares

Le dernier scandale en date touche le géant des VTC. En effet, le nouveau P.-D.G. d'Uber a dû récemment révéler que les données de 57 millions d'utilisateurs ont été piratées à travers le monde l'année dernière. Après Yahoo, MySpace, Ebay, LinkedIn, Sony, Target ou encore Cdiscount, ce piratage d'envergure est le dernier connu d'une longue série qui n'est pas près de s'achever.

Il existe trois types de cyberattaques différents : la demande de rançon, dite ransomware (WannaCry par exemple), l'attaque par déni de service (ce qu'a subi l'hébergeur français OVH) et l'attaque virale générale (piratage d'Uber).

Cet automne, un virus baptisé Bad Rabbit a infecté près de 200 organisations en Russie et en Allemagne. Ce logiciel malveillant qui a contaminé des millions d'ordinateurs se présentait sous la forme d'un programme d'installation d'Adobe Flash. De nombreuses sociétés ont ainsi été paralysées en se heurtant à des demandes de rançon pour récupérer leurs données et l'accès à leur système d'information. Les cas de cyberattaques de cette ampleur sont malheureusement légion.

L'été dernier, l'attaque mondiale du ransomeware NotPeya a touché de nombreux secteurs (pharmaceutique, bâtiment, bancaire) et coûté des millions.

Fin 2016, la société américaine Yahoo a annoncé avec turpitude que les données personnelles de plus de 500 millions de comptes d'utilisateurs (noms, adresses emails, mots de passe, numéros de téléphone…) avaient été compromises suite à une intrusion illégale.

En 2015, c'est la chaîne de télévision TV5 Monde qui a subi une cyberattaque d'ampleur entraînant l'arrêt de la diffusion des programmes et la publication de messages de soutien à l'État islamique sur ses réseaux sociaux.

Si ces exemples de cyberattaques sont impressionnants, ils ne représentent pas la majorité des cas, loin s'en faut. Il ne faut pas croire que seuls les grands groupes sont touchés. Malheureusement, même les TPE-PME en sont victimes. Les escroqueries aux faux ordres de virement sont courantes. D'ailleurs, le rapport d'information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française, présenté par les députés Anne-Yvonne Le Dain et Philippe Gosselin en février dernier, précise qu'une attention particulière doit être accordée aux TPE-PME.

Le risque d'attaques informatiques n'épargne personne aujourd'hui, entreprises comme particuliers. L'éditeur d'antivirus Symantec-Norton estime que 13,7 millions de Français auraient été victimes de hackers.

Un coût considérable

« Il n'y a pas encore assez de personnes conscientes que la cybercriminalité est partout et qu'elle coûte cher », expliquait l'avocate Claire Bernier, secrétaire générale de l'Afdit (Association française de droit de l'informatique et de la télécommunication), il y a déjà un an, lors d'un colloque consacré au traitement d'une cyberattaque de A à Z.

Le marché de la cybersécurité est estimé aujourd'hui à 77 milliards de dollars et devrait atteindre entre 130 et 170 milliards d'ici à 2020.

Le Ponemon Institute, en partenariat avec IBM, a révélé dans son enquête annuelle « Cost of Data Breach » le coût total moyen d'une faille de sécurité pour les organisations. Aux États-Unis, un vol de données personnelles ou confidentielles coûte aux entreprises 7,4 millions de dollars en moyenne. La facture est moins élevée pour les organisations françaises qui doivent tout de même compter sur un coût moyen de 3,5 millions de dollars pour une faille de ce type.

En témoigne l'exemple édifiant de la société américaine Equifax qui s'est fait voler les données de 143 millions de comptes personnels (un Américain sur deux) en septembre dernier et a perdu le quart de sa valeur boursière.

De plus en plus de grands dirigeants et de responsables informatiques sont remerciés après une cyberattaque. Il y a des cas très connus aux États-Unis, comme Home Depot et Target, alors même que ces sociétés étaient assurées.

Selon le rapport 2016 du Lloyd's intitulé « Faire face aux menaces cyber », 92 % des entreprises ont été victimes d'une fuite de données au cours des cinq dernières années et 73 % des dirigeants d'entreprise n'ont qu'une connaissance limitée de l'assurance cyber.

Pourtant, selon le rapport Cigref 2017 (association de grandes entreprises) sur le cyber-risque dans la gouvernance d'entreprise, 95 % des membres considèrent que ces risques sont des enjeux stratégiques. Par ailleurs, la part de budget des entreprises alloué à la lutte contre la cybercriminalité ne cesse d'augmenter.

Les experts sont unanimes : il y existe un lien fort entre cybersécurité, cybergouvernance et conformité au RGPD, qui doivent être étudiés ensemble.

D'ailleurs, le récent rapport d'information déposé le 6 décembre par la Commission des affaires européennes de l'Assemblée nationale sur le marché unique du numérique, comprend quatre parties dont une première sur la protection des données personnelles, une seconde sur la libre circulation des données non personnelles, une troisième sur la cybersécurité et une dernière sur la fiscalité du numérique.

Des mécanismes à mettre en place

Il existe de nombreux process et mécanismes de défense à mettre en œuvre au sein des entreprises afin de protéger leur système d'information et le traitement de leurs données.

Aujourd'hui, les experts font face à « énormément de demandes d'entreprises pour s'assurer ». Les sociétés ont enfin compris, avec la médiatisation des attaques d'une part, et la réglementation (RGPD, Sapin II) de l'autre, qu'elles ne sont pas du tout équipées pour faire face à un tel phénomène.

Cette question est donc devenue un enjeu majeur qui affole les professionnels du monde des affaires. Ces derniers appellent souvent les Pouvoirs publics à agir. Autant les avocats que les auditeurs et les commissaires aux comptes s'y consacrent.

Jean Bouquot, président de la Compagnie nationale des commissaires aux comptes, s'est inquiété de la « sous-évaluation du cyber-risque à l'heure où les business models s'ubérisent à grande vitesse » lors des 30e Assises de la CNCC.

« Le Gouvernement travaille puissamment sur la question des risques de cybercriminalité », lui a répondu Nicole Belloubet, garde des Sceaux, soucieuse d'accompagner les commissaires aux comptes dans leur mission.

En outre, Christiane Feral-Schuhl, nouvellement élue présidente du Conseil national des barreaux, a alerté ses confrères, lors de leur Convention nationale, sur leur relative absence dans le domaine de la cybersécurité, « un marché à conquérir ».

Au-delà de la mise en conformité juridique, il ne faut pas oublier que 70 % des cyberattaques sont déclenchées par un facteur humain. Qu'ils soient de nature malveillante ou imputables à la simple erreur d'un salarié, ces risques peuvent être limités par une prévention et une formation adéquates.

La Fédération française de l'assurance (FFA) édite un guide pratique qui répond à toutes les questions sur la réglementation, les couvertures offertes par chaque type de contrat (responsabilité civile, dommages aux biens et cyber), et des conseils pratiques pour bien réagir en cas d'incident. Intitulé « Anticiper et minimiser l'impact d'un cyber-risque sur votre entreprise », ce vade-mecum est à la disposition de chaque dirigeant, en téléchargement gratuit, pour faire un auto-diagnostic et entamer une réflexion sur les enjeux des cyber-risques.

Par ailleurs, la CNIL met aussi de nombreux outils à disposition sur son site et propose des permanences gratuites. Il existe donc bon nombre de dispositifs pour que chaque entreprise, quels que soient sa taille et son secteur, puisse mettre en place une stratégie de gestion des cyber-risques.