Comment les entreprises peuvent-elles se protéger face au risque cyber ?
Il n’existe plus aucune organisation qui ne fonctionne sans un système d’information : utilisation massive d’ordinateurs (fixes et / ou portables), de smartphones et de tablettes, dans la plupart des cas couplés à un réseau. Le contexte de crise sanitaire actuel contribue à accentuer ce risque par un recours accru aux réseaux de télécommunication (incidence lourde du télétravail).
L’IMPACT DE LA CYBER CRIMINALITÉ SUR LES ENTREPRISES
Le degré d’exposition au risque de cyber criminalité s’accroît donc fortement de jour en jour avec des conséquences variées :
• Vol de données sensibles,
• Perte de contrôle des systèmes d’information,
• Arrêt ou dégradation des installations,
• Escroquerie et déstabilisation.
Les statistiques sont difficiles à approcher, mais les différentes études tendent à mettre en évidence au niveau des entreprises une évolution contrastée :
• Le nombre d’entreprises touchées semble en baisse (39 % en 2020 pour 61 % en 2019),
• Néanmoins, le coût moyen des cyberattaques augmente fortement : il avoisinerait les 35 K€ par incident en France en 2020 et aurait été multiplié par quatre par rapport à 2019,
• Beaucoup de ces coûts sont liés à des temps internes mis en place pour résorber les problèmes.
Ces risques engendrent naturellement des coûts pouvant être très significatifs pour les entreprises : coûts liés à un incident de cybercriminalité (interventions de spécialistes, temps passé en interne, image de la société, relation client) et coûts engagés pour s’en prémunir (systèmes d’information, assurances, procédures internes accrues). Dans les cas les plus extrêmes, les sociétés peuvent se trouver dans des situations d’arrêt définitif de leur exploitation au regard de l’ampleur du sinistre. Par ailleurs, chacun doit avoir à l’esprit que ce risque concerne tout type d’organisation et pas uniquement les grands groupes comme on peut l’entendre fréquemment.
COMMENT LES ENTREPRISES PEUVENT-ELLES SE PRÉMUNIR CONTRE LES RISQUES CYBER ?
Dans un premier temps, comme très souvent, l’action la plus simple et la première posture à adopter sont liées à l’information préalable des équipes de la société, de la mise en place de gestes « barrières » qui relèvent simplement du bon sens et ne nécessitent aucune compétence spécifique. En effet, une étude réalisée en 2018, mettait en évidence que 63 % des incidents de sécurité provenaient d’un collaborateur actif au sein des effectifs. Le coût de ces actions est relativement faible au regard du risque encouru et permet de constituer un premier niveau de contrôle préventif efficace :
• Sensibilisation : faire connaître la problématique et la faire connaître à tous. Le simple fait d’avoir conscience du problème au quotidien permet déjà aux entreprises d’adopter une meilleure posture face aux éventuelles difficultés et de les limiter. L’organisation de réunions d’information, le fait de citer des exemples concrets, des situations auxquelles nous pouvons être confrontés permettent aux équipes d’avoir davantage de recul au quotidien et d’être à même de détecter certains risques.
• Définir les réflexes à avoir : la facilité de transmettre des informations, d’accéder à des bases de données, de réaliser des transactions constituent un vecteur de risque important. La mise en place de règles simples, qui peuvent néanmoins être contraignantes au quotidien, permet de limiter ce risque :
– Gestion de mot de passe : ne pas les communiquer, ne pas définir des choses trop basiques. Si la politique d’authentification et des mots de passe reste de la responsabilité du chef d’entreprise et de son gestionnaire des systèmes d’information (en fonction de la taille de la structure), l’utilisation quotidienne des