Les directions générales d'entreprises ne nient plus l'importance de la cybersécurité en leur sein. Le risque cyber est devenu le deuxième plus redouté derrière la cessation d'activité et juste devant celui lié aux catastrophes naturelles, d'après le baromètre mondial d'Allianz 2018. Bien que craint et même si le manque de ressources, tant sur le plan financier que sur celui de la formation des équipes, peut expliquer cette passivité, les entreprises, même les plus florissantes, n'ont toutefois pas encore adopté toutes les mesures ou les bons réflexes pour anticiper et minimiser l'impact d'un cyber-risque.
Ne pas sous-estimer les enjeux, s'équiper en logiciels
Selon Jean-Philippe Gaulier, qui a anciennement occupé le poste de responsable de la sécurité des systèmes d'information (RSSI) au sein du groupe Orange, la stratégie de cybersecurité dans le cadre d'une société doit être encore renforcée par un rôle accru du directeur des systèmes d'information (DSI).
"Le patron de l'ANSSI [Agence Nationale de la Sécurité des Systèmes d'Information] estime que le budget pour assurer la sécurité des cyberattaques devrait représenter 10% du budget du DSI. Concernant l'un des groupes pour lequel je travaille et d'après mes statistiques, on est plutôt entre 0% et 3%", a affirmé Jean-Philippe Gaulier, actuellement directeur de l'innovation de Digital Security lors d'une table ronde mardi 4 décembre consacrée aux cyber-risques, organisée par l'Acsel, le hub de la transformation digitale.
D'après une enquête internationale de la société de cybersécurité Kapersky, publiée ce 5 décembre, 36% des RSSI ne parviendraient pas à débloquer les budgets nécessaires à la protection de l'entreprise. De fait, le budget des RSSI n'a cessé d'augmenter depuis ces dernières années. Une étude du cabinet Gartner avait confirmé une hausse des dépenses mondiales des entreprises de 7,6% en 2017 dans la sécurité, pour atteindre un montant total de 90 milliards de dollars. Une augmentation directement liée au nombre et à la puissance des cyberattaques. 2018 devrait également confirmer cette tendance d'après Gartner, qui s'attend à une croissance des achats de logiciels de DPL (Data Loss Prevention). A la fois parce que le risque-cyber ne décroît pas, et aussi en raison de l'entrée en vigueur, depuis le 25 mai 2018, du Règlement général sur la protection des données (RGPD). Cette législation européenne impose aux entreprises de garantir la sécurité des données de leurs employés, partenaires et clients, sous peine de recevoir une sanction qui peut représenter jusqu'à 4% de son chiffre d'affaires mondial.
Aujourd'hui, les experts considèrent qu'au moins quatre types d'outils sont nécessaires : des outils « en amont » (ceux qui vont empêcher qu'il y ait une attaque), des outils de détection (ceux qui repèrent les anomalies), des outils de remédiation ou d'analyse et des outils de correction. Mais certaines entreprises, notamment les PME et TPE, n'ont pas forcément les ressources pour pouvoir investir dans des solutions en interne, préférant alors se prémunir des cyberattaques par le biais de prestataires spécialisés ou de souscription de cyber-assurance. Un sondage OpinionWay pour le CESIN indiquait d'ailleurs que 40% des entreprises disaient en avoir déjà souscrit une en 2017.
Lutter contre la négligeance, former les équipes
Pour autant, la cybersécurité n'est pas qu'une question de budget. Deloitte, l'un des quatre plus gros cabinets d'audit au monde, a été victime d'une cyberattaque, comme l'a révélé le Guardian en 2017, alors même que l'entreprise conseille ses clients sur les risques de piratage et de protection des données. Selon le quotidien britannique, un ou plusieurs hackers ont eu accès pendant au moins quatre mois aux courriels échangés entre les 244.0000 salariés de Deloitte. Les hackeurs seraient passés par un compte administrateur qui n'était protégé que par un simple mot de passe. La vérification en deux étapes n'était pas activée.
Une erreur "inadmissible de la part de l'employé qui a voulu se faciliter la vie", juge Jean-Philippe Gaulier, ajoutant que "la première des bonnes pratiques à adopter pour une entreprise est de nommer quelqu'un de compétent et qui s'intéresse réellement au métier".
Les cyber-assureurs souhaiteraient désormais adopter "une démarche différente et plus vertueuse", selon Laurence Clayton, directeur de la plateforme Cybex Assistance. Ils cherchent à cartographier les risques inhérents aux systèmes d'information de leurs futurs clients, dans le but de les confronter aux procédures de prévention mises en place en interne (mots de passe, double identification, etc.) et de vérifier la cohérence entre les ressources allouées et les objectifs recherchés.
"Il y a volonté d'éduquer les entreprises et inciter les entreprises à déployer chez elles des politiques de sensibilisation et de formation", a-t-il indiqué lors de la "Matinée Cyber Sécurité" organisée par l'Acsel.
Un flou juridique qu'il faut régler
La croissance des risques cyber a aussi soulevé de nouvelles interrogations juridiques, qui contribuent à la passivité de certaines entreprises dans leur prise en compte de ce type de danger. D'après Eric Barbry, avocat associé chez Racine et président de la commission juridique de l'Acsel, le facteur juridique devrait compter tout autant que l'aspect technique :
"Il faut une véritable consolidation des systèmes et procédures existants. Si on ne travaille pas main dans la main, cela ne pourra pas fonctionner", a-t-il suggéré.
Alors que les entreprises sont de plus en plus amenées à travailler avec des professionnels de justice tels que des huissiers pour établir des constats d'incident, Rémi Chavaudret, huissier de justice associé au sein de la SCP Chavaudret Castalan, a rappelé l'absence de formalisme pour ce type de préjudice. « Le constat établi par les huissiers n'est pas normé, il n'y a rien qui régi la manière dont il doit être fait », déplore-t-il.
Le Qatar pourrait acheter 120 véhicules blindés VBCI fabriqués par KNDS France
Sujets les + commentés