C’est un fait, les entreprises sont aujourd’hui toutes susceptibles d’être la cible de cyberattaques. Les médias s’en font de plus en plus l’écho : des PME touchées par des ransomwares (logiciels qui encryptent les données, puis font une demande de rançon pour les libérer) aux attaques mettant en péril le fonctionnement de grandes organisations. La cybercriminalité est une des réalités du numérique, et il va falloir s’y faire.
C’est probablement pour cette raison que le gouvernement lance un dispositif qui vient accompagner le travail de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Mais avant de le présenter, faisons un petit tour des raisons pour lesquelles la cybercriminalité prospère, et des grands axes de protection suivis par les entreprises pour lutter contre la cybermalveillance.
Pourquoi ces attaques ?
La raison numéro un est la même pour tous les crimes : l’argent. Car La cybercriminalité paye bien. Le retour sur investissement d’un acte de ransomware est estimé à 1425% (source : 2015 Trustware). Et combien pour la revente de données ?
Mais toutes les attaques ne sont pas directement suivies de transaction financières : comme cause de cyberattaque, on peut compter l’espionnage industriel, le vandalisme dans le but de nuire à la réputation d’une entreprise ou encore d’opérer des démonstrations de force…
S’ils ne peuvent pas être complètement empêchés, les actes de cybermalveillance sont d’autant plus aisés à mettre en place que les structures sont mal protégées : technologiquement (antivirus et systèmes périmés, données en clair, transferts non-sécurisés, absence de sauvegardes en rapport avec le niveau de sensibilité des données…) et humainement (culture numérique des employés insuffisante).
Aujourd’hui aucune entreprise, quelle que soit sa taille, n’est à l’abri d’un acte de cybermalveillance : on dénombre à 4165 le nombre d’entreprises visées par un cyberattaque en 2016 en France. Et il n’y a pas de raison que ce chiffre diminue. À tel point qu’aujourd’hui le discours des experts est le suivant :
Alors comment se protéger au mieux de cette grippe ?
Les 3 grands axes de préparation à la cybermalveillance
Si on ne peut empêcher l’attaque, on peut se prémunir contre ses effets dévastateurs qui mettraient en péril l’entreprise. Pour cela le chef d’entreprise doit développer au sein de son organisation, les trois axes suivants : sensibiliser, se protéger, anticiper. Trois axes à mettre en oeuvre sans attendre pour diminuer les risques et minimiser les conséquences.
- Sensibiliser :
C’est d’abord, pour un chef d’entreprise, prendre conscience du problème. C’est ensuite informer ses collaborateurs : leur expliquer les risques, leur parler cybersécurité ou inviter des interlocuteurs pour leur en parler. Et cela à tous les employés, quelle que soit leur place dans la hiérarchie.
- Se protéger :
C’est désigner une personne ou une équipe, peut-être même recourir à un prestataire, dont la tâche sera de faire un audit des plus grandes vulnérabilités de votre entreprise et d’organiser la protection logicielle, matérielle et humaine. C’est à dire : veiller aux installations, à la mise à jour des programmes, organiser la sauvegarde multiple des données les plus sensibles, s’assurer de la prévoyance de vos sous-traitants (sur le Cloud notamment). Mais il s’agira aussi d’acculturer vos équipes au numérique et de recruter des candidats sensibles à cette question.
- Anticiper:
C’est connaitre les réponses à apporter en cas d’attaque. C’est également connaitre votre responsabilité juridique face aux données perdues ou volées, et prendre les mesures de protections nécessaires. C’est, au final, être capable de revenir à un fonctionnement normal de l’entreprise en très peu de temps et pour un coût nul ou moindre.
La réponse gouvernementale… à ses débuts ?
Pour accompagner le travail de l’ANSSI, le gouvernement a lancé le site Cybermalveillance.gouv.fr, une plateforme réunissant différents acteurs publics et privés, destinée à assister et à prévenir le risque numérique.
Sur le site gouvernemental cybermalveillance.gouv.fr, vous trouverez, entre autre :
- Une liste de prestataires susceptibles de fournir un audit en sécurité,
- Des guides à lire pour se prémunir contre la cybermalveillance,
- Une liste des préconisations de la police nationale en cas de cyberattaque.
Vous pourrez également vous déclarer en tant que victime, mais cette partie du site n’est activée que pour les Hauts de France, pour le moment, et on ne sait pas au juste ce qu’elle propose.
Ce site est un bon début et nous espérons vivement qu’il viendra s’enrichir de recommandations peut-être juridiques, ou même techniques. Et pourquoi pas, de propositions permettant aux recruteurs et aux ressources humaines de sensibiliser et de recruter au mieux, afin de préserver la cyberintégrité de leurs entreprises ?
Ou peut-être proposera-t-il un kit de cyberprotection à l’image du Cyber essential du Royaume Uni, avec des badges permettant de détecter les entreprises les mieux protégées ?
Tout cela est très prometteur, et nous veillerons à mettre au fur et à mesure les ressources les plus intéressantes dans notre portail de ressources en ligne L’École par TANu.
En attendant la suite, sortez couverts !