La cybersécurité des entreprises: Quels remèdes contre les cyber-attaques?

cyber cyberattaque cyber risque iziday

Dans cet article, nous tentons de synthétiser le rapport d’information n°678 (2020-2021) de Sébastien Meurant et Rémi Cardon, fait au nom de la délégation aux entreprises et déposé le 10 juin 2021

Un enjeu de survie des entreprises

La cybercriminalité visant les entreprises se banalise selon quatre motifs :  

1 - La numérisation de l’économie, accélérée depuis le confinement avec la mise en place du télétravail et le déploiement de la fibre ;
2 - La professionnalisation de la cybercriminalité, facilitée par sa « plateformisation» et son industrialisation ;
3 - La difficulté de la prévention et de la répression, lesquelles nécessitent à la fois la prise de conscience de tous et une coopération internationale efficiente ;
4 - L’intégration du cyberespace comme nouveau vecteur de la conflictualité géopolitique dont les entreprises sont soit les cibles soit les victimes collatérales.

Or, l’économie numérique, ne peut se développer qu’en se fondant sur la confiance des partenaires. Les entreprises, quelle que soit leur taille, sont incitées à numériser leurs processus de production, à développer le e-commerce et à placer leurs salariés en télétravail.

Chaque utilisateur d’un outil numérique ou même d’un objet connecté peut être potentiellement le point d'entrée d'une attaque qui, lorsqu'elle réussit, peut présenter un risque important pour son entreprise.
L’explosion des usages numériques s’est accompagnée d’une hausse exponentielle des actes de piratage. Quelques chiffres suffisent à illustrer ce phénomène :

Le président de la Réserve fédérale des États-Unis, Jerome Powell, considère que les cyberattaques contre les entreprises constituent le risque actuel le plus important pour l'économie américaine, plus redoutable encore qu'une crise financière similaire à celle de 2008.

Une prise de conscience tardive et insuffisante de l’ampleur des cybermenaces

La cybersécurité était, en 2018, loin d’être considérée comme « l’affaire de tous», comme le déplorait CCI France. En effet de nombreuses entreprises, notamment les PME et TPE, ne se sentaient pas concernées. Le sujet semblait technique, externalisable, solutionnable par le simple achat d’un pare-feu ! Cependant, un basculement s’est opéré au printemps 2020.  

La surface d’exposition aux cyberattaques a été nettement augmentée avec plus de 8 millions de salariés en télétravail. Dans un premier temps, de nombreuses entreprises ont encouragé leurs salariés à utiliser leur propre équipement informatique. Cette situation a créé des brèches de sécurité, l’urgence étant la continuité de l’activité davantage que la sécurité numérique. Les cybercriminels en ont profité, avec une augmentation de 667 % des attaques par phishing enregistrées entre le 1er et le 23 mars 2020.  

Les dirigeants d’entreprise intègrent désormais ce risque de façon croissante, bien qu’inégale. Face à la montée des failles de sécurité, leurs services informatiques tentent désormais d’imposer le concept Zero Trust, modèle de sécurité qui repose sur le principe qu'aucun utilisateur n'est totalement digne de confiance sur un réseau.

Cette nécessité est prise en compte par les grandes entreprises, d’autant que les agences de notation intègrent le risque cyber dans leur notation financière et qu’un marché de la notation cyber s’est développé. En outre, la notation ESG (environnement, société, gouvernance) comporte également une référence à la cybersécurité.  

Le niveau de cybersécurité des entreprises doit être rapidement et fortement augmenté avant l’explosion de l’internet des objets (IoT), qui va étendre de façon exponentielle la surface d’exposition au cyberrisque.

Des grandes entreprises mieux protégées, des PME plus vulnérables

Les cybercriminels font des études de marché sur leurs cibles. Lorsque celles-ci ont atteint un niveau supérieur de protection, ils réorientent des attaques sophistiquées via leurs fournisseurs ou sous-traitants plus fragiles en termes de cybersécurité.
Face à la multiplication des cyberattaques, les grandes entreprises et les ETI ont pris des mesures de défense compliquant la tâche des cybercriminels. En particulier, les stratégies de sauvegarde et de reconstruction des systèmes informatiques rendent le blocage des systèmes moins pertinent comme contrepartie à une demande de rançon.

Une meilleure cyberdéfense des grandes entreprises a eu comme contrepartie de détourner la cybercriminalité vers les plus petites entreprises plus vulnérables.
Cette translation du risque vers des fournisseurs, sous-traitants ou clients, continue cependant à affaiblir, par rétroaction, la cybersécurité des grandes entreprises.
En effet, l’accès à distance au système d’information de l’entreprise augmente sa surface d’attaque en ouvrant de nouvelles portes.  

«L’effet domino » peut être dévastateur. La cybersécurité est donc l’affaire de tous et de toute la chaine de valeur. Le salarié est souvent le maillon faible de la cybersécurité, voire un « cheval de Troie ».  
La cybersécurité est encore trop perçue comme une contrainte supplémentaire par les salariés eux-mêmes. Le fonctionnement en silos du management d’un certain nombre d’entreprises ne favorise pas toujours ce travail d’équipe. Une collaboration minimaliste ne permet pas de diffuser de façon efficace une culture partagée.
Celle-ci doit impliquer tous les échelons de la hiérarchie de l’entreprise, en intégrant les dirigeants et l’ensemble du management, leur rôle d’impulsion étant majeur.
La lutte contre les cybervirus suppose une hygiène numérique constante et des «gestes barrières » permanents de la part de chacun.
L’augmentation du budget alloué aux outils n’est pas une réponse suffisante face à la multiplication des menaces de plus en plus sophistiquées.  Chaque salarié dispose de la clé de la cybersécurité de son entreprise. La pénurie d’expertise humaine en matière de cybersécurité est mondiale.
Au déficit de compétences en cybersécurité s’ajoute le fait que les entreprises ne mesurent pas à sa juste valeur l'intérêt de sécuriser l'information.

L’écosystème français de la cybersécurité

Si la cybersécurité est une menace pour les entreprises, elle constitue également une opportunité de développer un marché porteur.  
Elle représente en France 13 milliards d’euros de chiffre d’affaires. Ce secteur est en forte croissance. Il dégage 6,1 milliards d’euros de valeur ajoutée et emploie 67 000 personnes.  

Le marché mondial de la cybersécurité devrait représenter 150 milliards de dollars en 2023. L’offre française de cybersécurité demeure très fragmentée avec une forte exposition à la concurrence mondiale.
Associée jusqu’ici à l’idée de contraintes et de dépenses, la cybersécurité doit être considérée aujourd’hui comme un atout compétitif et un investissement productif. Un comportement cybersécurisé devient un critère de sélection pour les clients soucieux à l’idée de confier des données personnelles, voire sensibles, à une entreprise.
La stratégie de l’État vise à encourager le développement d’un écosystème de la cybersécurité.  La cybersécurité et la sécurité de l’Internet des Objets (IoT) est l’une des cinq priorités du contrat stratégique de la filière « industries de sécurité » du 29 janvier 2020, avec la sécurité des grands évènements et des Jeux Olympiques de Paris 2024, l’identité numérique, les territoires de confiance et le numérique de confiance.
Il s’agit de « positionner l’industrie française comme leader mondial de la cybersécurité et de la sécurité de l’IoT».

La cybersécurité à la portée de toutes les entreprises ?

Le rapport propose trois axes de propositions pour développer le cercle vertueux de la cyberprotection : tester, alerter et protéger. 

1 –TESTER 

Le dispositif cybermalveillance.gouv.fr doit être mieux promu auprès des entreprises et un service d’urgence doit être dédié aux entreprises (proposition n°1).
Un recueil anonymisé des plaintes doit être ouvert afin d’encourager les entreprises à signaler les cyberattaques sans porter atteinte à leur réputation, tout en décourageant la publicité autour des logiciels malveillants, afin de disposer de statistiques fiables (proposition n°2).
Des équipes de réponse aux incidents informatiques (CSIRT : Computer Security Incident Response Team) doivent être déployées dans les Régions, afin de faciliter l’accès des PME à la cyberprotection tout en sensibilisant les collectivités locales.
Ces dernières sont, avec les hôpitaux publics, les nouvelles cibles de la cybercriminalité (proposition n°3).  

2 –ALERTER 

Salariés et dirigeants d’entreprise doivent être davantage sensibilisés à la cybersécurité, à l’hygiène numérique et ses gestes barrières.
Les salariés, en se voyant proposer une sensibilisation à la cybersécurité par la voie de la formation professionnelle (proposition n°9).
Les dirigeants, dont la responsabilité personnelle peut être engagée en cas de cyberattaque de la chaîne de valeur dont ils sont partie prenante, en étant mieux sensibilisés du risque de devenir à la fois être victime et responsable.
Le sujet doit être traité lors de la définition de la stratégie de l’entreprise (proposition n°15).
La certification par un référentiel de cybersécurité accessible aux PME et TPE doit être encouragée (proposition n°14).  

3 -PROTÉGER 

L’assurabilité tant des rançongiciels que des sanctions administratives en cas de violation de la réglementation sur la protection des données à caractère personnel, doit être interdite, à la fois au niveau européen et national (proposition n°12).  

Le marché de l’assurance doit être conforté :
- par une meilleure compréhension du risque, en ayant la connaissance la plus exhaustive possible des sinistres ;
- par l’utilisation de logiciels et d’experts en cybersécurité certifiés ;
- par la création d’une agence de cybernotation européenne, utilisant les référentiels de l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), ou française, utilisant ceux de l’ANSSI (proposition n°16).

Pour remédier à la pénurie de ressources humaines en expertise, il faut faciliter la mutualisation de responsables de sécurité des systèmes informatiques (RSSI) pour les PME, par exemple par la constitution de groupements d’employeurs ayant un statut de tiers de confiance (proposition n°17).  
Pour simplifier la vie des entreprises, il faut développer l’offre d’un « package » de solutions de cybersécurité pour les TPE et PME (proposition n°18).

En savoir plus

Contactez nos équipes pour en savoir plus sur notre expertise Systèmes et Réseaux

NOUS CONTACTER

Adopter Iziday

Trouver une solution à vos enjeux Systèmes et Réseaux n'a jamais été aussi simple

TROUVER UN CONSULTANT