Cybersécurité : quelles pratiques doivent adopter les entreprises ?

cybersécurité
Reuters

cybersécurité
Reuters
Les directions générales d'entreprises ne nient plus l'importance de la cybersécurité en leur sein. Le risque cyber est devenu le deuxième plus redouté derrière la cessation d'activité et juste devant celui lié aux catastrophes naturelles, d'après le baromètre mondial d'Allianz 2018. Bien que craint et même si le manque de ressources, tant sur le plan financier que sur celui de la formation des équipes, peut expliquer cette passivité, les entreprises, même les plus florissantes, n'ont toutefois pas encore adopté toutes les mesures ou les bons réflexes pour anticiper et minimiser l'impact d'un cyber-risque.
Selon Jean-Philippe Gaulier, qui a anciennement occupé le poste de responsable de la sécurité des systèmes d'information (RSSI) au sein du groupe Orange, la stratégie de cybersecurité dans le cadre d'une société doit être encore renforcée par un rôle accru du directeur des systèmes d'information (DSI).
D'après une enquête internationale de la société de cybersécurité Kapersky, publiée ce 5 décembre, 36% des RSSI ne parviendraient pas à débloquer les budgets nécessaires à la protection de l'entreprise. De fait, le budget des RSSI n'a cessé d'augmenter depuis ces dernières années. Une étude du cabinet Gartner avait confirmé une hausse des dépenses mondiales des entreprises de 7,6% en 2017 dans la sécurité, pour atteindre un montant total de 90 milliards de dollars. Une augmentation directement liée au nombre et à la puissance des cyberattaques. 2018 devrait également confirmer cette tendance d'après Gartner, qui s'attend à une croissance des achats de logiciels de DPL (Data Loss Prevention). A la fois parce que le risque-cyber ne décroît pas, et aussi en raison de l'entrée en vigueur, depuis le 25 mai 2018, du Règlement général sur la protection des données (RGPD). Cette législation européenne impose aux entreprises de garantir la sécurité des données de leurs employés, partenaires et clients, sous peine de recevoir une sanction qui peut représenter jusqu'à 4% de son chiffre d'affaires mondial.
Aujourd'hui, les experts considèrent qu'au moins quatre types d'outils sont nécessaires : des outils « en amont » (ceux qui vont empêcher qu'il y ait une attaque), des outils de détection (ceux qui repèrent les anomalies), des outils de remédiation ou d'analyse et des outils de correction. Mais certaines entreprises, notamment les PME et TPE, n'ont pas forcément les ressources pour pouvoir investir dans des solutions en interne, préférant alors se prémunir des cyberattaques par le biais de prestataires spécialisés ou de souscription de cyber-assurance. Un sondage OpinionWay pour le CESIN indiquait d'ailleurs que 40% des entreprises disaient en avoir déjà souscrit une en 2017.
Pour autant, la cybersécurité n'est pas qu'une question de budget. Deloitte, l'un des quatre plus gros cabinets d'audit au monde, a été victime d'une cyberattaque, comme l'a révélé le Guardian en 2017, alors même que l'entreprise conseille ses clients sur les risques de piratage et de protection des données. Selon le quotidien britannique, un ou plusieurs hackers ont eu accès pendant au moins quatre mois aux courriels échangés entre les 244.0000 salariés de Deloitte. Les hackeurs seraient passés par un compte administrateur qui n'était protégé que par un simple mot de passe. La vérification en deux étapes n'était pas activée.
Chaque jour à 13h, l’essentiel de l’actualité tech.

Les cyber-assureurs souhaiteraient désormais adopter "une démarche différente et plus vertueuse", selon Laurence Clayton, directeur de la plateforme Cybex Assistance. Ils cherchent à cartographier les risques inhérents aux systèmes d'information de leurs futurs clients, dans le but de les confronter aux procédures de prévention mises en place en interne (mots de passe, double identification, etc.) et de vérifier la cohérence entre les ressources allouées et les objectifs recherchés.
La croissance des risques cyber a aussi soulevé de nouvelles interrogations juridiques, qui contribuent à la passivité de certaines entreprises dans leur prise en compte de ce type de danger. D'après Eric Barbry, avocat associé chez Racine et président de la commission juridique de l'Acsel, le facteur juridique devrait compter tout autant que l'aspect technique :
À lire également
Alors que les entreprises sont de plus en plus amenées à travailler avec des professionnels de justice tels que des huissiers pour établir des constats d'incident, Rémi Chavaudret, huissier de justice associé au sein de la SCP Chavaudret Castalan, a rappelé l'absence de formalisme pour ce type de préjudice. « Le constat établi par les huissiers n'est pas normé, il n'y a rien qui régi la manière dont il doit être fait », déplore-t-il.