Fermer la publicité
Journal d'information juridique et d'annonces légales

Le Medef s'attaque de nouveau à l'enjeu crucial de la cybersécurité

le - - Entreprise - Vie des entreprises

Le Medef s'attaque de nouveau  à l'enjeu crucial de la cybersécurité
@ AP - De gauche à droite : Nathalie Malicet, Christophe Foret, Fabien Caparros et Fabienne Lissak.

Le monde des affaires est concerné par le risque cyber. En 2019, 39 % des grandes entreprises européennes admettent avoir été victimes de cyberattaques, et 8 sur 10 relatent l'avoir été l'an dernier. La conférence cybersécurité organisée par le Medef récemment a donc été l'occasion de rappeler au public présent l'enjeu de se prémunir contre ce danger et les clefs permettant d'y parvenir.

Le danger des cyberattaques est toujours d'actualité et devient la préoccupation numéro un des entreprises françaises et européennes. Toutes ont en tête les affaires Wannacry et NotPetya, résultant d'un ransomware qui a touché plus de 150 pays dans le monde et infecté de nombreuses entreprises.

Aujourd'hui, les petites et moyennes entreprises (PME), de même que les entreprises de taille intermédiaires (ETI) et les très petites entreprises (TPE), sont tout autant exposées à ce risque que celles cotées en Bourse. Professionnels comme personnes privées, tout le monde est concerné.

Les dirigeants et professionnels experts en la matière ont pu, lors des différentes tables rondes animées par Fabienne Lissak, directrice de la communication et du marketing à l'ISEP, partager leur expérience, fournir les outils stratégiques et les bons réflexes pour gérer les cyberattaques.

Cyber-attaque : un enjeu financier...

La cybercriminalité est devenue, depuis 2015, l'une des préoccupations des entreprises et des grands acteurs économiques.

Le vol de données en ligne et les demandes de rançons sont considérés comme les plus importants risques cyber. Ils touchent 40 % des entreprises européennes, sans distinction de secteurs d'activité.

L'un des impacts majeurs de ce fléau est d'ordre financier. Les cyberattaques représentent un coût très important pour toutes les entreprises qui en sont victimes. De fait, 20 % des TPE ont subi un préjudice supérieur à 50 000 euros et supérieur à 100 000 euros pour 13 % d'entre elles. Concernant les grands groupes cotés en Bourse, ce chiffre varie selon les sources : 3,6 millions en dollars selon Ponemon Institute mais également 0,2 million selon Rand Corporation.

L'impact financier peut être « mortel » pour certaines mais l'analyse est assez floue. En effet, 60 % des PME déposeraient le bilan sous 6 mois après une cyberattaque. Pour ce qui est de l'impact sur le cours de Bourse, toutes les entreprises ne subissent pas de la même manière ces attaques. Dans presque deux tiers des cas, un mois après la crise, un impact significatif est relevé pour 63 % des entreprises de cet échantillon. Pire, 40 % d'entre elles ont du mal à se relever et subissent une baisse du cours de Bourse d'environ 9 % jusqu'à un mois après. Les 23 % restant réagissent bien et arrivent à rebondir : on note une augmentation de 6 % du cours par rapport au cours initial, avant l'attaque.

… qui peut fragiliser l'image de l'entreprise

La bonne gestion de la crise est facteur de valeur pour l'entreprise : l'enjeu est de rétablir la crédibilité auprès des investisseurs, des clients et des employés. Guy-Philippe Golstein estime que « le coût cyber est devenu le coût de la réputation », c'est le coût le plus grave engendré par une crise de cette nature.

Pour se prémunir de l'impact du risque cyber, il est donc important de connaître tous les facteurs qui l'engendrent. Quatre facteurs majeurs ont été répertoriés par des chercheurs en cyberdéfense. Il s'agit de la préparation aux risques, de la qualité de la réponse aux attaques (qualité technique et de communication), de la gouvernance au sein de l'entreprise (avoir un conseil d'administration qui sait prendre au bon moment les bonnes décisions) ainsi que de la digitalisation des activités.

La confiance est une notion instable dans le monde des affaires et se perd facilement. Elle se compose de trois aspects : la compétence technique, l'honnête et la dimension éthique, c'est-à-dire prendre la prise en compte de ses clients.


De gauche à droite : Pascal Le Roux, Nicolas Arpagian, Axel Castadot, Christophe Ternat et Fabienne Lissak.

Bien connaître son environnement numérique

Réaliser ses activités en toute sécurité est un enjeu majeur pour chaque entreprise. à ce titre, Nicolas Arpagian, VPstratégie et affaires publiques d'Orange Cyberdefense, énonce que la sécurité est « un élément de la durabilité des entreprises ». Exerçant dans un environnement de dépendance numérique, dû à la digitalisation intensive de chaque secteur, il leur est primordial de définir leurs priorités et d'apprendre à revenir à une situation économique saine après une attaque, en ayant les bons outils de détection.

Il est nécessaire de ne pas oublier que toute personne est susceptible d'être attaquée, à tout moment et de toute part, directement ou indirectement, par le biais de leur sous-traitant voire d'intermédiaires encore plus éloignés. Ce scénario est rendu possible par l'interconnexion des systèmes informatiques qui engendre ces infections au niveau mondial.

Quand le temps est compté, adoptez les bons gestes

Le laps de temps qui s'écoule entre la crise et sa résolution peut s'avérer désastreux pour l'entreprise. C'est un délai qui cause de grandes pertes, financières mais aussi matérielles. Les données personnelles sont les premières visées par le vol, qu'il s'agisse de celles de l'entreprise, de ses clients et de ses salariés.

En recherchant des solutions numériques de sécurisation de leurs systèmes d'information, les entreprises se mettent parfois elles-mêmes en danger, ouvrant une porte d'entrée aux attaques. Pour Pascal Le Roux, vice-président de CDVI, président du Comité de liaison Sécurité numérique de la FIEEC, cela est notamment dû aux insuffisants audits et analyses de risque opérés par les entités concernées.

Mettre en œuvre rapidement de bonnes pratiques renforce la crédibilité de l'entreprise vis-à-vis de ses clients, partenaires et employés. D'ailleurs, des systèmes de notation de l'hygiène informatique des entreprises existent et sont communiqués sur le marché. Ces notes permettent aux entreprises de se positionner, de se comparer et de savoir si leurs résultats en la matière sont satisfaisants.

Parmi ces bonnes pratiques, notons l'analyse de risques, la conscience de ses forces et faiblesses, de son niveau d'exposition et celui de ses clients, connaître son système d'information etc. Il n'est pas rare que les hackers connaissent mieux les systèmes d'information qu'ils piratent que les victimes elles-mêmes. L'automatisation est également un réel outil qui permet de sécuriser les activités des entreprises et qu'elles doivent utiliser.

Stratégie cyber et maturité managériale

Selon le baromètre Cesin, 80 % des PME constatent au moins une cyberattaque au cours de l'année en France et leur provenance est diverse.

Les risques technologiques des entreprises sont nombreux : attaques sur les points de vente, « hacktivisme », « phishing », les menaces internes, les cybercriminels ou encore « malware ».

De ce fait, les dirigeants qui sollicitent des techniciens souhaitent aussi comprendre la stratégie de la décision prise, l'exposition au risque et pouvoir prendre part au management de ce risque.

Les chiffres démontrent une réelle prise de conscience des dirigeants : le risque cyber est une préoccupation pour plus de 76 % des entreprises (source Ifop). En outre, 71 % des entreprises de 0 à 9 salariés et 85 % de celles de 10 à 49 salariés sensibilisent leurs collaborateurs aux risques informatiques, dont 44 % tous les ans (rapport FranceNum /CPME).

Plusieurs outils de stratégie cyber ont donc été mis à disposition des PME/TPE/ETI.

à l'Agence nationale des systèmes de la sécurité des systèmes d'information (ANSSI), la méthode Ebios (expression des besoins et identification des objectifs de sécurité), devenue Ebios risk manager, permet au décideur d'avoir une meilleure vision de son exposition au risque, de connaître son contexte numérique, la menace en place et la plus dangereuse pour lui, connaître les vulnérabilités qui peuvent être les siennes lors des échanges au sein de son écosystème et les décisions à prendre pour sécuriser son « intimité numérique ».

« Cela nécessite de revoir toute la doctrine de management de risques pour la faire monter au niveau de la décision stratégique », expose Fabien Caparros, chef de la division chargé des méthodes de management de la sécurité numérique à l'ANSSI.

Des visas de sécurité sont délivrés par cette dernière, prouvant la fiabilité des systèmes de sécurité.

Une autre méthode de sécurisation a été introduite il y a quelques mois en Europe, celle du FAIR Institute, qui introduit une taxonomie détaillée afin de déterminer « les composantes et sous-composantes des risques ».

à côté des deux outils précités, certains sont spécifiquement adaptés aux activités de certains professionnels. Tel est le cas des commissaires aux comptes. Nathalie Malicet, vice-présidente de la commission numérique et innovation à la Compagnie nationale des commissaires aux comptes (CNCC), expose l'intention qui est la leur d'accompagner les chefs de TPE qui resteraient « dans le déni » en estimant qu'ils sont « trop petits pour intéresser un attaquant », alors que leur petite taille est facteur de vulnérabilité : la TPE sera la victime collatérale de celui qui souhaite attaquer une grosse entreprise avec qui elle est en lien d'affaires.

Le constat partagé par les experts intervenants à ces tables rondes est le nombre élevé d'entreprises, notamment les plus petites. « C'est très souvent une question de maturité. Globalement, le mot d'ordre chez nous c'est anticiper pour ne pas subir, si on a atteint un certain seuil de maturité et qu'on a investi en amont, au moment de la crise ça se passe mieux et le moment de la reconstruction coûte moins cher », conclue Fabien Caparros.


Michel Juvin, Tiphaine Leduc, Jean-Philippe Gaulier et Fabienne Lissak.

Une hygiène numérique pour rester en bonne santé

Lors d'un sondage de l'assemblée par Jean-Philippe Gaulier (Cyberzen), à la question « qui utilise un coffre-fort numérique pour ses mots de passe ? », un tiers des mains s'est levé. à la question « qui a effectué la restauration de sa dernière sauvegarde pour s'assurer qu'elle marchait ? », ce sont presque les mêmes qui se sont manifestés. Puis, lorsqu'il a demandé au public « qui a fait la mise à jour de son contrôleur d'entrée et de sortie de Windows XP et l'a passé sous Windows 10 ? », une seule main s'est levée.

Selon une étude du site Hackmagedon.com, la France se situe en 7e position dans le classement des pays par nombre d'attaques ciblées, avec 524. Cependant, tous les secteurs ne sont pas concernés de la même manière par les cyberattaques. Comme le rappelle Tiphaine Leduc, chef de mission Défense et Cyber-sécurité chez Bretagne Développement Innovation, certaines filaires ne sont pas expertes en cybersécurité, elles n'ont pas cette culture. « L'enjeu au sein de l'agence de la région Bretagne est de diffuser la cyber-sécurité et les bonnes pratiques au sein de ces filaires applicatives (objet connecté, mobilité, santé, industries au sens large) », explique-t-elle.

Tiphaine Leduc rappelle que le personnel mal formé peut générer des problèmes en interne, toutes les attaques n'étant pas uniquement de sources extérieures. Tout un chacun est susceptible de commettre une erreur, par négligence ou manque de formation.

Un régime d'assurance du risque cyber à clarifier

Depuis environ cinq ans, le cyber-risque est un sujet continuellement au cœur des discussions, d'autant plus avec l'entrée en vigueur du règlement européen sur la protection des données (RGPD). La sécurité des données et l'assurance contre le risque cyber sont devenues l'une des nouvelles priorités des dirigeants.

Selon Nicolas Hélénon, fondateur et cogérant de NeoTech Assurances (groupe LSN Assurances), il est important de veiller à avoir un volet « gestion de crise » dans les contrats d'assurance. Cette clause permet d'assurer le financement des recherches techniques sur l'attaque, de payer les frais d'experts et d'avocats, les frais de communication ou encore les frais de négociateur en cas de rançon et des pénalités. Ce procédé est très intéressant pour les TPE, PME et les ETI car les grands groupes savent gérer les crises et ont les fonds financiers pour y répondre.

En général, toute entreprise est couverte par un contrat d'assurance de dommages aux biens ou par un contrat de responsabilité civile. Il faut alors rechercher si ces contrats couvrent ou non un fait générateur cyber car « il peut y avoir des chevauchements entre un contrat cyber dédié et un contrat de dommage classique ou un contrat de responsabilité contractuelle classique », rappelle Christophe Delcamp. Il faut donc analyser le contenu du contrat pour « lutter contre une couverture silencieuse qu'on ne connaît pas », explique-t-il.

« Le point clef c'est de clarifier l'offre vis-à-vis assureurs : il faut que les assureurs aient conscience de l'intérêt du sujet et que les clients sachent comment ils sont couverts », conclut-il.

Dénoncer et anticiper la cyberattaque

Jérôme Notin, directeur général du groupement d'intérêt public Acyma (dispositif national d'assistance aux victimes de cybermalveillance) rappelle l'utilité du site cybermalveillance.gouv.fr, en l'absence de prestataires de proximité. à l'heure actuelle,
1 600 prestataires de sécurité œuvrent sur le territoire national pour aider les victimes, privées et publiques.

En aval de l'attaque, les services judiciaires spécialisés dans la cyber-criminalité et le cyber-terrorisme entrent en action. Ils apportent des réponses techniques à l'incident et opèrent des analyses de ces attaques pour anticiper les menaces et éviter leur survenance.

Pour aider ces services, il existe une plateforme ministérielle de signalement de contenus suspects ou illicites, Pharos, très fréquemment sollicitée depuis sa création. Le nombre d'escroqueries est tel qu'un projet est en cours, pour permettre aux victimes de porter plainte en ligne et qui devrait fonctionner d'ici à 2020. Il s'agit du projet Thésée, « premier système de plainte en ligne dématérialisé et à distance pour les e-escroqueries », annonce Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité à la Direction centrale de la police judiciaire. Dans les entreprises, la principale e-escroquerie est le ransomware : ces dernières pourront maintenant déposer plainte en ligne et auront accès à une assistance pour que l'infraction puisse être caractérisée et le dossier judiciarisé.




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer