Protection face aux cyberattaques : êtes-vous plutôt du genre sceptique, hypocrite… ou volontariste ?

Par Camille Cacheux
Publié le 31 mai 2022
Lecture : 9 min.
Au sujet de la cybersécurité, tout le monde semble désormais d’accord. Au moins sur le constat : le niveau de la cybermenace n’a jamais été aussi élevé et, lorsqu’une organisation est la cible d’une attaque, les pertes peuvent être considérables : demande de rançon, vol de données, cyber-espionnage, paralysie du système d’information et des outils métiers, chômage technique… Sans parler des amendes infligées par les autorités en cas de négligence (jusqu’à 4 % du chiffre d’affaires annuel mondial), et des conséquences en termes de réputation. Car les incidents de sécurité et les sanctions sont souvent rendus publics, selon le principe du « name and shame », pour interpeler des utilisateurs désormais soucieux de la protection de leurs données personnelles —en témoigne l’augmentation constante du nombre de saisines de la CNIL.
5 #Groupe

Cette prise de conscience, aiguisée à mesure que les exemples se multiplient, est encouragée par les pouvoirs publics, qui sensibilisent le grand public à l’adoption de bonnes pratiques dans la sphère privée comme professionnelle (1).

Pourtant, de récentes études confirment ce que les sociétés de services informatiques telles que Pictime Groupe observent au quotidien. Entre les déclarations et les mesures concrètes adoptées par les entreprises pour se prémunir des risques cyber, il y a souvent un décalage. Ainsi, dans son dernier rapport, HackerOne pointe un déficit de résistance aux attaques, en particulier dans les entreprises françaises, qui héritent du score le plus faible en matière de confiance dans leur résistance aux cyberattaques (59 %) et dans leur capacité à maîtriser ce risque. Par scepticisme ou par manque de volonté ? Les raisons semblent ne jamais manquer pour justifier l’inaction ou la politique des « petits pas ». Une situation qui n’est pas sans rappeler notre impuissance face aux enjeux climatiques.

 

« Ça n’arrive qu’aux autres » : quand les cyber-sceptiques se mettent en danger par ignorance

 

Exacerber la menace pour commercialiser la protection idoine est une technique de vente efficace. Aussi, douter n’est pas une mauvaise chose en soi. Ceci dit, croire qu’on ne sera jamais l’objet d’une cyberattaque au prétexte que l’on ne traite pas de données sensibles ou que son activité n’est pas stratégique pour le pays relève avant tout d’une méconnaissance du mode opératoire des cybercriminels.

Il y a en effet peu de chances qu’un hacker russe déphase le site d’un site marchand français spécialisé dans la bougie au lait de chèvre. La plupart des attaques ont un motif crapuleux : gagner de l’argent, pour soi-même ou pour le compte d’une organisation criminelle.

N’imaginez pas une opération ciblée à la Ocean Eleven : l’immense majorité des attaques sont menées par des réseaux de botnets (des machines infectées contrôlées par l’attaquant), qui parcourent le web à la recherche de portes ouvertes ou faciles à crocheter. Oubliez Georges Clooney et sa bande ; imaginez plutôt un cambrioleur opportuniste, qui teste les portes d’une rue au hasard. Et malheur à celui qui aura oublié de la verrouiller.

Le parallèle avec les cambriolages et les hold-up dans le monde réel a toutefois des limites : au beau milieu de la Creuse, vous pouvez aller faire les courses en laissant la maison ouverte et les clés sur la porte. Statistiquement, le plus grand risque que vous prenez et de trouver un sanglier et une portée de marcassins installés au coin du feu à votre retour. Dans le cyberespace, les attaques sont automatisées, et réalisées à une échelle industrielle. C’est ainsi que des malwares, rançongiciels et autres cryptolockers peuvent, en quelques semaines, infecter une grande partie du parc mondial de machines.

Autrement dit, la question n’est pas de savoir si vous avez ou non des ennemis. Vous finirez par être attaqué un jour ou l’autre ! Certains sont peut-être tentés de penser qu’il n’y a, après tout, pas grand-chose à dérober le cas échéant, alors à quoi bon se protéger ? Si la liste des clients de votre site, associée à des informations personnelles, venait à être hackée, figurez-vous que votre responsabilité serait engagée… et que vos clients, dont les données personnelles pourraient être revendues sur le darkweb, pourraient ruminer davantage encore que votre troupeau de caprinés. S’ils ont eu la mauvaise idée d’utiliser sur votre site un mot de passe commun à plusieurs autres applications, leurs comptes pourraient alors être piratés, et les informations récoltées utilisées pour une usurpation d’identité et/ou une campagne de phishing personnalisée (spear-phishing).

Il n’y a donc aucune application qui ne mérite pas d’être suffisamment protégée ; et n’oubliez pas d’inclure dans ce périmètre les applications internes, qui contiennent des données personnelles relatives à vos collaborateurs.

 

Je sais ce que je dois faire, mais : hypocrisie ou manque de volonté ?

 

Quand bien même on s’accorde sur les dangers et que la cybermenace figure dans les priorités stratégiques de l’organisation, beaucoup cèdent à la tentation de la politique des « petits pas » voire à l’inaction, au motif que relever le niveau de sécurité informatique implique de véritables changements organisationnels et, logiquement, des réticences de la part des utilisateurs. Aussi, face au manque de ressources humaines dans les services informatiques, priorité est souvent donnée aux enjeux métiers, reléguant les chantiers relatifs à la cybersécurité en fin de todolist.

Les mesures à mettre en place sont pourtant, dans bien des cas, de l’ordre des bonnes pratiques ou de l’hygiène informatique élémentaire : imposer des mots de passe robustes et les renouveler fréquemment, instaurer la double authentification pour les applications critiques, mettre en place une gestion des accès à privilèges, enrôler les appareils utilisés à des fins professionnelles pour limiter les dangers du BYOD, installer des sandbox pour exécuter les fichiers reçus via une clé USB, organiser des campagnes de test en interne et former les employés… Ces mesures ne nécessitent pas des compétences techniques rares, mais du temps pour déployer les outils adéquats et faire oeuvre de pédagogie pour obtenir la mobilisation de tous. C’est donc un sujet dont devraient s’emparer les directions générales, appuyées au besoin par des spécialistes pour réaliser un audit, mettre en oeuvre le plan d’action et accompagner le changement. Notre rôle, en tant que conseil extérieur, est notamment de traduire les risques informatiques en risques métiers, en risques concrets pour l’entreprise. Ce qui inclut évidemment les risques de sanctions financières par la CNIL et les risques d’image. Quantifier ces risques aide souvent à évaluer le budget à consacrer à la cybersécurité, et à prioriser les chantiers.

Après quoi, cela doit faire partie des process de l’entreprise que de scanner régulièrement son SI pour évaluer la menace, repérer des logiciels malveillants qui parfois sommeillent plusieurs mois avant d’entrer en action, et établir les mesures à mettre en place dans l’urgence ainsi que dans une perspective d’amélioration continue. Le blocage récent des accès via les protocoles POP et IMAP à la messagerie laposte.net est ainsi une bonne mesure d’urgence, qui vise à protéger ses utilisateurs suite à la détection de tentatives d’accès aux comptes de messagerie via une liste de mots de passe et e-mails associés trouvés sur Internet. Une mesure contraignante, certes, mais de nature à rassurer les utilisateurs du service quant à la protection de leurs données en attendant la mise en place d’une parade plus transparente.

 

La sécurité de votre système d’information fait partie de la valorisation de votre société

 

Si vous hésitez encore, voilà qui devrait achever de vous convaincre : votre capacité à connaître votre surface d’attaque, à faire face aux menaces et à limiter les dégâts le cas échéant fait partie des actifs immatériels de votre entreprise, au même titre que la marque. On parle ainsi de plus en plus de « capital applicatif », et la sécurité de vos applications y est primordiale.

C’est d’ailleurs la raison pour laquelle le système informatique d’une organisation est de plus en souvent audité préalablement à un rachat, une fusion ou une valorisation, ceci pour évaluer l’éventuelle dette technique et l’adéquation entre le niveau de protection et les risques cyber.

Un nombre grandissant d’entreprises cherchent également à s’assurer contre les risques cyber auprès de compagnies d’assurance, qui ont multiplié les offres ces dernières années. Ce que l’on sait moins, c’est que beaucoup de ces offres sont déficitaires, conduisant les assurances à stopper ces contrats ou à augmenter drastiquement le niveau d’exigence, sans quoi le montant des primes et des franchises s’envole.

Enfin, on peut parier que les mesures mises en place pour assurer la sécurité des données confiées à une entreprise figureront un jour dans les rapports RSE. Après tout, cela ne constitue-t-il pas une mission essentielle pour une entreprise aujourd’hui ? Arrêtons donc de voir la cybersécurité comme une contrainte, une source de coûts à optimiser quitte à courir quelques risques. Certaines jeunes sociétés, évoluant dans des environnements très réglementés comme la santé ou la bancassurance, adoptent une démarche de security by design / by default et devraient nous inspirer. Car dans un monde où aucune activité n’échappe à la numérisation, la cyberprotection est d’ores et déjà un avantage compétitif.

 

Découvrez nos offres : Security Management 

 

(1) Quelques exemples de campagnes de sensibilisation à la cybersécurité déployées par les pouvoirs publics :

https://www.gendarmerie.interieur.gouv.fr/nos-conseils/pour-les-professionnels/cybermenaces-comment-proteger-votre-entreprise

https://www.ssi.gouv.fr/entreprise/precautions-elementaires/

https://www.francenum.gouv.fr/comprendre-le-numerique/comment-prevenir-les-cyber-risques-en-entreprise

https://www.gouvernement.fr/risques/risques-cyber


Vous aimerez aussi

5 #Groupe
Pictime Groupe rejoint Claranet et accélère sa croissance pour accompagner ses clients dans leur transformation digitale !

Claranet, leader européen des services de transformation digitale et d’infogérance d’applications critiques, annonce l’acquisition de Pictime Groupe, entreprise créée en 2002 et spécialisée dans la transformation digitale.

Lire la suite
5 #Groupe
Qu’est-ce que la transformation digitale ?

La transformation digitale désigne les nouveaux usages liés aux nouvelles technologies et marque la rupture avec la simple numérisation ie la traduction numérique d’une pratique documentaire ou process déjà existante.

Lire la suite
FR   |   EN