En pleine crise sanitaire, l’intensification de la menace cyber contraint les entreprises à développer des moyens de défense plus adaptés pour limiter l’impact des sinistres.

La période de confinement imposée par la crise sanitaire du covid-19 oblige les entreprises à se réorganiser et privilégier le travail à distance. Le recours généralisé au télétravail présente l’avantage de limiter le préjudice économique qu’elles pourraient subir. Mais il apparaît d’autre part comme une aubaine pour les pirates informatiques qui en profitent pour intensifier leurs activités criminelles. L'éditeur de logiciels antivirus Bitdefender a ainsi relevé une hausse significative de cyber-attaques depuis le début de la crise sanitaire au premier trimestre 2020 (140 signalements malveillants en janvier contre 8 319 au 16 mars). Les secteurs les plus touchés sont l’hôtellerie, l’éducation, le transport, la santé, particulièrement sensible en cette période de pandémie, et même les instances gouvernementales. Les cyber-criminels ne font preuve d’aucun discernement en visant notamment les infrastructures sanitaires. En France, les serveurs informatiques de l'Assistance publique-hôpitaux de Paris ont été pris pour cible le 22 mars 2020. Cette attaque fut d’autant plus problématique que la région parisienne reste l’une des plus touchées par le covid-19. Il n’est cependant pas nouveau que les hôpitaux soient sujets à ce genre d’incidents informatiques, et cela montre leur vulnérabilité face aux cyber-attaques. Le CHU de Rouen en avait fait les frais en novembre 2019, frappé de plein fouet par un virus de type rançongiciel qui rend inaccessibles les données et les systèmes informatiques avant que soit réclamée une rançon pour les débloquer. Si globalement les entreprises ont conscience de leur niveau d’exposition aux cyber-attaques, la majorité d’entre elles en ayant déjà été victimes, leur politique de gestion des cyber-risques est insuffisante. Le vieil adage « mieux vaut prévenir que guérir » est plus que jamais d’actualité.

Une préoccupation majeure

Dans son rapport sur la gestion des cyber-risques 2019, l’assureur britannique Hiscox note que le pourcentage d’entreprises interrogées ayant subi un ou plusieurs cyber-incidents au cours des douze derniers mois a augmenté, passant de 45 % en 2018 à 61 % dans la dernière étude. La raison ?  Auparavant, les pirates informatiques ciblaient principalement les grandes entreprises mais ont récemment élargi leur périmètre aux PME car ces dernières sont réputées plus vulnérables. En France, plus d’une PME sur deux estiment d’ailleurs que le niveau du risque cyber a augmenté, comme le révèle une enquête de l’assureur australien QBE. 

L’ampleur de cette menace inquiète également à l’échelle mondiale. Selon une enquête publiée par Allianz en 2020, les cyber-incidents apparaissent comme la principale préoccupation des entreprises (39 %), toutes tailles confondues. Si ce risque domine pour la première fois le classement, il affiche par ailleurs une progression constante depuis plusieurs années. Identifié depuis 2016 dans le trio de tête, il ne figurait en 2013 qu’en quinzième position, et était cité par seulement 6 % des sondés.

Ces chiffres sont la parfaite illustration que les cyber-attaques constituent « une menace croissante pour les organisations qui prennent davantage conscience de leur dépendance à l'égard des bases de données et systèmes d’information, et de la médiatisation de plusieurs incidents », comme le précise Allianz dans un communiqué de presse.

À l’ère de la transformation numérique, le cyber-risque reste un enjeu principalement économique pour les sociétés. D’après une étude du cabinet Accenture sur l’impact et les opportunités du cyber-crime en 2019, les attaques informatiques devraient coûter 4 600 milliards d’euros aux entreprises dans le monde sur les cinq prochaines années. Pour répondre au défi de la cyber-sécurité, elles doivent changer d’approche et/ou renforcer leurs solutions techniques pour se protéger efficacement contre les cyber-attaques. « Il est temps d’adopter une approche plus globale, proactive et préventive. Cela nécessite un engagement total des acteurs des entreprises et de l’écosystème de partenaires », précise Michael Bittan, directeur exécutif d'Accenture security pour la France.

Image

Face à la menace

De toute évidence, il est utopiste de penser pouvoir se prémunir totalement contre les cyber-attaques, mais l’inaction n'est pas une option. Le risque numérique qui pèse sur les entreprises peut mettre en péril leur survie. En plus d’engendrer des pertes économiques importantes, évaluées à l’échelle mondiale à 13 millions de dollars en moyenne selon Accenture, le sinistre informatique contraint souvent les entreprises à interrompre partiellement ou totalement leurs activités dans les cas les plus graves. Prévenir ce risque permet non seulement à l’entreprise de limiter les dégâts potentiels, mais aussi de se positionner comme un tiers de confiance numérique à l’égard de ses parties prenantes (investisseurs, fournisseurs, clients…). « Demain, l’entreprise responsable et génératrice de confiance sera celle qui s’attache à maîtriser le risque numérique », souligne Brigitte Bouquot, présidente de l’Amrae dans le guide Maîtrise du risque numérique, l’atout de confiance, rédigé en partenariat avec l’agence nationale de la sécurité des systèmes d'information (Anssi). La gestion des cyber incidents est en effet devenue un enjeu stratégique majeur pour les organisations. D’ailleurs, selon l’Anssi et l’Amrae, « le risque numérique doit être considéré comme un risque à traiter au plus haut niveau de l’organisation et non plus seulement comme un risque dont l’évitement est l’affaire d’experts techniques ». Dit autrement, les dirigeants de sociétés doivent participer à la lutte contre la menace cyber en y consacrant les moyens nécessaires. Ce qui passe nécessairement par la mise en place d’une cartographie des risques technologiques qui consiste à identifier et évaluer les différents dangers inhérents aux activités de l’organisation, puis un investissement important dans des systèmes de défense (logiciels antivirus, blockchain, intelligence artificielle…) adaptés au niveau d’exposition et au besoin des entreprises. Encore faut-il que ces dernières disposent de ressources budgétaires suffisantes. Un paramètre que de nombreuses PME ne maîtrisent pas forcément d’où leur difficulté à investir prioritairement dans la cyber-sécurité. De plus, « la souscription d’une assurance devrait être l'un des derniers points du plan d'une entreprise pour améliorer sa cyber-résilience car l'assurance a un rôle essentiel à jouer pour aider les entreprises à se rétablir si toutes les autres mesures sont insuffisantes », a déclaré Marek Stanislawski, directeur mondial adjoint du risque cyber chez AGCS, filiale du groupe Allianz. 

Enfin, la formation des collaborateurs à la culture du risque, qui passe par leur sensibilisation à l’ampleur de la menace, à la diversité des techniques d’attaques ou encore aux bonnes pratiques à adopter en cas d’incidents, reste une étape essentielle dans la stratégie de résilience de l’entreprise. Il est important de rappeler que 80 % des cyber-incidents font suite à une erreur humaine selon l’assureur Hiscox.

Un accord technologique sur la cybersécurité

« Les attaques dévastatrices [de 2017] démontrent que la cyber-sécurité n’est pas seulement ce que n’importe quelle entreprise peut faire, mais aussi ce que nous pouvons tous faire ensemble », a déclaré le président de Microsoft, Brad Smith. Le 17 avril 2018, pas moins d’une trentaine de grands groupes du numérique, parmi lesquels Microsoft, Facebook et Nokia, ont signé un accord sur la cyber-sécurité, le Cybersecurity Tech Accord. « Nous n'aiderons aucun gouvernement à lancer des cyber-attaques contre des entreprises et citoyens innocents », peut-on par ailleurs lire dans le communiqué. Une belle initiative qui regroupe aujourd’hui plus de 140 entreprises signataires, même si l’absence de Google, d’Amazon ou encore d’Apple ne passe pas inaperçue. Depuis la mise en œuvre de l’accord, les signataires ont soutenu des actions qui s’inscrivent dans la droite ligne de leurs engagements. Ils ont notamment rejoint l’Appel de Paris lancé en décembre 2018 pour la confiance et la sécurité dans le cyber-espace conformément à leur volonté d’améliorer la collaboration technique par de nouveaux partenariats formels et informels. Les acteurs de la convention œuvrent également pour une responsabilisation des utilisateurs de leur technologie en organisant une série de webinaires consacrés par exemple aux meilleures pratiques d’évaluation des cyber-vulnérabilités ou aux techniques de protection des courriers électroniques.

Yannick Tayoro

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}

GUIDE ET CLASSEMENTS

> Guide 2023