Antoine Denry et Laurence Bault
Les ETI sont les plus touchées et les plus vulnérables. Mais bizarrement seule 1 sur 10 d'entre elles est couverte contre le risque cyber alors même qu'elles le sont toutes contre le risque incendie.
DR
Au cours des dernières années, les attaques informatiques ont littéralement explosé. Que les chiffres proviennent du ministère de l'Intérieur ou du dernier rapport du Cesin, il est établi que 8 entreprises sur 10 ont été victimes d'au moins une cyberattaque durant la dernière année. La moitié de ces entreprises ont même subi au moins quatre cyberattaques sur les 12 derniers mois. Ce n'est plus un risque ou une menace, c'est une crise avérée, une guerre ouverte qui se joue.
Avec les processus de digitalisation mis en place par les entreprises et l'essor du cloud computing, la vulnérabilité des entreprises s'est nettement accrue. Les attaques sont toujours plus ciblées et sans cesse renouvelées, à la portée de petits génies de l'informatique, ou de criminels pouvant récupérer des logiciels d'intrusion sur le dark web ou à même de maîtriser les techniques de manipulation. Avec un objectif : maximiser l'impact des attaques sur le monde physique (coupures d'électricité, de distribution d'eau etc.).
De la récupération de données au défacement [forme de détournement d'un site web, Ndlr] et à la demande de rançon voire au sabotage, les attaques peuvent venir de groupes d'individus, y compris éthiques, de mafias, de groupes terroristes ou d'États. On le voit de manière claire dans la confrontation actuelle entre les États-Unis et l'Iran : selon les données recueillies par le fournisseur de services de sécurité Check Point, la semaine qui a suivi l'opération contre Soleimani, des pirates iraniens se sont attaqués à 35 entreprises, notamment américaines et israéliennes.
Les ETI sont naturellement les plus touchées et les plus vulnérables. Mais bizarrement seule 1 sur 10 d'entre elles est couverte contre le risque cyber alors même qu'elles le sont toutes contre le risque incendie. Et pourtant l'impact de ce type d'attaque peut avoir de lourdes répercussions sur le compte d'exploitation de l'entreprise et peut même l'entraîner jusqu'à sa faillite.
On se souvient de l'épisode Saint-Gobain qui avait dû arrêter ses systèmes de production pendant quatre jours à la suite d'une attaque du virus « NotPetya » en 2017 : 250 millions d'euros de chiffre d'affaires partis en fumée pour un coût de 80 millions d'euros sur le résultat d'exploitation. Depuis, les attaques se sont accélérées : de Fleury-Michon à Eurofins, Airbus ou Altran pour ne citer qu'elles, sans parler de toutes celles qui n'ont pas d'écho médiatique mais qui n'en sont pas moins dévastatrices. Une récente étude de RSM montre ainsi que 39% des grandes entreprises européennes admettent avoir été victimes d'une cyberattaque et que dans 75% des cas celle-ci n'a pas été rendue publique.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Reflet de ces chiffres effrayants, 41% des chefs d'entreprise considèrent le risque cyber comme le 1er risque couru par leur entreprise en raison de la menace critique qu'il fait peser sur la continuité de ses activités et sur sa réputation (Baromètre des risques Allianz 2019). Et paradoxalement les stratégies mises en place ne sont pas à la hauteur de l'accélération de la menace : la cybersécurité est encore trop souvent vue comme une affaire technique. Comme si les entreprises subissant une cyberattaque étaient encore vues comme des victimes !
Ce temps-là est révolu : leurs publics leur reprochent désormais un manque de préparation. Au-delà des pertes liées à l'arrêt de l'activité, d'autres dommages sont en effet à prendre en compte. C'est notamment l'image des sociétés victimes qui est souvent dégradée auprès des clients et partenaires à la suite d'une défaillance de sécurité. Une étude du cabinet PwC a d'ailleurs montré que 87% des consommateurs sont prêts à rompre leur contrat avec une société qui affiche une faille informatique.
Même si les entreprises ne peuvent se prémunir à 100% contre les risques de cyberattaques, ne rien faire n'est pas une option. Le risque zéro n'existe pas, le critère à considérer est celui du coût de l'attaque par rapport aux dommages causés. Il vaut mieux ainsi parler de cyber immunité plutôt que de cybersécurité, ce qui suppose d'impliquer réellement l'ensemble des salariés dans l'application des procédures et de faire porter le projet par le top management pour qu'il investisse en conséquence et mobilise toutes les strates de l'entreprise.
À lire également
La vitesse, qui est la base des technologies de l'information, et la sécurité sont difficilement compatibles. C'est la raison principale pour laquelle, en dépit d'investissements conséquents en cybersécurité, une entreprise est toujours vulnérable à une attaque. Il faut par conséquent s'y préparer et surtout envisager la continuation de l'activité. Les entreprises les mieux préparées à ce type de crise sont souvent celles qui en ont déjà traversé un. Elles adoptent la politique du « plus jamais ça » et se mettent ainsi dans les meilleures conditions pour y répondre.
Antoine Denry et Laurence Bault
