Toutes les entreprises sont-elles concernées ?
Aujourd’hui, la prise de conscience du risque cyber est bien présente. En témoigne notamment la stratégie d’accélération pour la cybersécurité de France 2030 engagée par le gouvernement, accompagnée de lourds investissements. En parallèle, des organismes, comme l’Anssi (Agence nationale de la sécurité des systèmes d’information), la plateforme Cybermalveillance.gouv.fr ou encore la Cnil (Commission nationale de l’informatique et des libertés) participent activement à la lutte contre la cybercriminalité en multipliant les interventions et les campagnes de sensibilisation, mais aussi en assurant une visibilité constante, notamment sur les réseaux sociaux.
Si la prise de conscience semble croître, les actions en faveur de la sécurité informatique ne sont pas traitées comme prioritaires par les dirigeants. Certains peuvent se croire à l’abri, pensant que leur secteur d’activité ou leur entreprise ne sont pas attractifs pour les hackers, ou que leurs données ne sont pas assez intéressantes pour être dérobées et revendues. Il n’en est pourtant rien.
Toutes les entreprises doivent aujourd’hui prendre la menace au sérieux. Les chiffres parlent d’eux-mêmes. En 2021, plus d’une entreprise sur deux déclare avoir subi entre une et trois attaques cyber au cours de l’année [1]. Si les attaques ayant ciblé de grandes entreprises connues sont largement médiatisées, les TPE/PME/ETI représentent aussi une cible. D’ailleurs, en 2020, ces structures représentent 34 % des incidents traités par l’Anssi. Un chiffre qui a bondi de 18 points en un an, à 52 % ! Il est donc essentiel de ne pas sous-estimer ce risque.
Quelles conséquences ?
Une menace est particulièrement prise au sérieux : les attaques de phishing (ou hameçonnage). Ici, les messages (e-mail, SMS…) visent à dérober des informations confidentielles (mots de passe, coordonnées bancaires…) en usurpant l’identité d’un tiers de confiance, ouvrant la porte à l’exécution d’attaques de type rançongiciel. Ces attaques consistent à chiffrer et empêcher l’accès aux données de l’entreprise, avec pour objectif de réclamer une rançon pour les libérer. Elles sont de plus en plus nombreuses. Un fléau mis en exergue par la Cnil qui a reçu plus de 2 150 notifications en 2021, soit 43 % des notifications pour ce seul type d’attaque.
Ces attaques ne sont pas sans conséquences et représentent un coût important pour les organisations. Perte de données, divulgation d’informations confidentielles, perte de compétitivité et de confiance sur les marchés, perte d’exploitation suite à l’interruption du réseau et/ou paralysie du système d’information… C’est la solvabilité/viabilité de l’entreprise qui est sérieusement menacée.
Quelles actions mener ?
Conduire une stratégie de sécurité, trouver les compétences et les moyens de se protéger des attaques peut s’avérer complexe pour les dirigeants de TPE/PME. Pour commencer et savoir quelles actions engager, il faut être conscient des forces et des faiblesses de son système d’information et également évaluer son exposition au risque cyber.
Dans un premier temps, il est intéressant de regarder ce que la règlementation peut apporter comme solution. Exemple avec le Règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018. Si de prime abord, la mise en conformité avec le RGPD ressemble à une contrainte supplémentaire, ce chantier est l’occasion de remettre la question de la protection des données au centre de la stratégie des organisations. Il permet en effet de faire un état des lieux des différentes solutions et applications utilisées par l’entreprise, qui peuvent constituer un point d’entrée pour un vol de données, de se questionner sur les modalités d’hébergement des données ou encore sur la gestion des sauvegardes.
Ensuite, un dirigeant doit avoir conscience que ses salariés sont considérés par les acteurs malveillants comme le maillon faible et le principal point de vulnérabilité des systèmes informatiques des entreprises. S’il doit avoir la maîtrise de l’ensemble de son parc informatique, il doit aussi être en mesure de contrôler à la fois les accès utilisateur mais également les droits de chacun. Or, force est de constater que trop d’entreprises permettent encore aujourd’hui à leurs collaborateurs de télécharger et d’installer des applications sur leurs ordinateurs, potentiellement infectées.
Il faut également veiller à la sécurité des accès : adopter des mots de passe complexes et difficilement détectables, à changer régulièrement, séparer l’usage professionnel de l’usage personnel (exemple : ne pas utiliser les mêmes comptes et mots de passe) et limiter l’accès aux ressources aux seules personnes autorisées.
Un audit du SI (Système d’information) et une analyse de risques peuvent aussi s’avérer judicieux pour détecter des failles et, in fine, mettre en place un plan de continuité d’activité.
Enfin, il est conseillé de s’appuyer sur des professionnels qualifiés (label ExpertCyber, certification PASSI,…) pour sécuriser ses systèmes et opter pour des solutions en Saas (Software as a service) qui vous permettront de ne pas gérer l’hébergement, ni la maintenance, et de déléguer la sécurité technique des applications.
En conclusion, il faut être conscient que des années de travail peuvent être anéanties en quelques minutes mais qu’il est possible, dans tous les cas, de se prémunir du risque cyber, à condition de s’y être intéressé au préalable…
[1] Baromètre CESIN-OpinionWay 2021.
Quelques conseils pratiques
- Disposez d’une sauvegarde de vos données à jour et isolée du système d’information de l’entreprise.
- Ne négligez pas le risque cyber dans la cartographie des risques de l’entreprise malgré une actualité chargée (complexité géopolitique, crise énergétique, impacts post Covid…).
- Allouez des moyens internes et externes et n’hésitez pas à vous entourer de professionnels qui sauront vous conseiller et vous aiguiller.
- Maintenez vos systèmes à jour.
- Sensibilisez/formez vos collaborateurs (faites intervenir en entreprise un professionnel de la cyberdéfense et des fraudes, par exemple) et restez en veille sur les évolutions des menaces(webinaires, podcasts, newsletters…).
- Ne payez pas les rançons demandées en cas de cyberattaque car vous n’aurez aucune garantie de recouvrir l’intégralité des données attaquées.