Quels sont les risques liés à l’informatique et au numérique en entreprise, comment peut-on les contrer ? Dans le cadre de ses webinaires Inspiring, TBS a réuni plusieurs spécialistes autour du thème de la cybersécurité. Le regard expert du lieutenant-colonel Laurent Lebreton, chargé de projets sécurité économique et protection des entreprises Région Occitanie, Rémi Daudigny, délégué régional de l’ANSSI et Jean François Simonin, consultant en stratégie et philosophe
On distingue deux types de délinquance numérique : les actes où le numérique est un moyen, et ceux qui visent la sécurité du système d’information. Les cyberattaques les plus fréquentes prennent des formes diverses comme l’usurpation d’identité ou fraude au président, le phishing ou hameçonnage destiné à dérober des données privées, ou encore les rançongiciels ou ransomwares qui bloquent l’accès au système d’information. Les attaques les plus élaborées vont jusqu’à détruire ou rendre inopérant l’outil de production. Il faut comprendre que la cybercriminalité est de plus en plus le fait de réseaux organisés et structurés au niveau international.
Elle est énorme et ne cesse d’augmenter : + 22% en moyenne chaque année. 100 000 crimes et délits ont été déclarés l’an dernier, et la première période de confinement, au printemps dernier, marquée par un recours accru au numérique, a vu une multiplication par 5 des atteintes. Et encore, il ne s’agit là que de la partie émergée, puisqu’on estime que pour 1 fait signalé, 267 sont commis. Toutes les entreprises ne déclarent pas qu’elles sont victimes d’une cyberattaque, et toutes ne s’en aperçoivent pas : par exemple il faut 197 jours en moyenne pour déceler une atteinte au traitement automatisé des données et 69 Jours pour y remédier.
Tout le monde ! Les entreprises représentent 57% du total des atteintes, et les administrations 7%. Les individus sont aussi des cibles de premier choix, et à ce titre constituent un point de fragilité pour les entreprises, avec notamment le développement du télétravail et la plus grande perméabilité des sphères professionnelle et privée. Par grands secteurs, la défense, la finance, l’énergie, le médical et le paramédical sont particulièrement visés.
Elles peuvent être désastreuses. Les cyberattaques entraînent principalement des pertes financières, mais aussi des pertes de données, voire dans les cas les plus graves la paralysie de l’entreprise. Il ne faut pas négliger non plus les effets d’image, et la dégradation de la réputation de la marque. Un chiffre résume la gravité du phénomène : 80% des entreprises qui ont été victimes d’un rançongiciel ferment dans les 12 mois qui suivent.
L’Anssi propose une approche par typologie de risque afin de toujours adapter sa réponse au plus juste. L’agence a élaboré une pyramide du management du risque numérique avec les 3 catégories principales de cyberattaques. Les attaques de grande envergure, non ciblées, qui touchent tout le monde, appellent des réponses simples appliquant les principes de base de sécurité des systèmes d’information. Un peu plus élaborées, les attaques de type rançongiciel demandent de mettre en place un véritable système de défense. Enfin, tout en haut de la pyramide, des attaques ciblées sur des cibles stratégiques : dans ce cas où on ne peut pas éviter l’incident, il faut surtout se préparer à réagir par des scénarios permettant d’en limiter l’impact et d’assurer la continuité d’activité.
C’est fondamental. L’Anssi et la CGPME ont publié un guide pratique présentant les 12 règles essentielles pour sécuriser les équipements numériques (https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf). Si le risque zéro n’existe pas, être vigilant sur ses mots de passe et mettre à jour régulièrement son système d’information permet d’éviter 90% à 95% des mauvaises surprises liées à la navigation internet. Parmi les principes de base également, beaucoup de règles de bon sens sur l’utilisation des messageries, les paiements en ligne ou encore les usages privés d’Internet et des réseaux sociaux.
D’abord en anticipant et en se donnant les moyens d’avoir une protection efficace. Il s’agit d’un enjeu à la fois technique et humain. L’Anssi propose plusieurs ouvrages permettant aux entreprises d’améliorer leur gestion de risque : un guide en 42 mesures d’hygiène de base pour renforcer la sécurité des systèmes d’information (https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/), et un document plus complet (https://www.ssi.gouv.fr/guide/maitrise-du-risque-numerique-latout-confiance/) pour bâtir sa stratégie en 4 étapes : prendre la mesure du risque numérique ; comprendre le risque numérique et s’organiser ; bâtir son socle de sécurité ; piloter son risque numérique et valoriser sa cybersécurité.
En cas d’attaque d’envergure sur le système d’information de l’entreprise, la probabilité de fuite de données personnelles est assez forte. Dans le cadre du règlement européen RGPD, le dirigeant est responsable d’un point de vue légal de la protection de son système d’information. Sur ce thème, il existe un guide de la CNIL en 17 mesures (https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf).
Les couvertures assurantielles existent, elles peuvent être utiles pour faire face à une crise et limiter son préjudice, voire pour aider l’entreprise à gagner en maturité par des mesures de prévention minimales. Le fait de s’assurer ne dispense pas quoi qu’il en soit de s’engager dans une vraie démarche de cybersécurité.
D’abord la signaler et porter plainte. On parle d’actes délictueux commis par des organisations, et ce sont les enquêtes judiciaires qui permettent de les appréhender. La règle d’or est de ne jamais entrer dans le jeu des cyberdélinquant : par exemple dans le cadre d’un rançongiciel, il ne faut jamais payer pour récupérer ses données, au risque d’encourager le phénomène.