Recevez chaque jour toute l'actualité du numérique

x

Budget, comex, données… Quels sont les axes majeurs pour lutter contre les cyberattaques ?

Étude La sophistication des cyberattaques, la massification du recours au télétravail et le pouvoir accru des collaborateurs sur les données sont des facteurs déterminants dans la gestion de la sécurité informatique des entreprises. A l'initiative du Conseil de l'économie et de l'information du digital, un groupe d'entreprises et d'organismes publics vient de publier un guide à destination des dirigeants. L'objectif est de livrer des conseils de base pour réduire le risque et anticiper l'arrivée d'une cyberattaque.
Twitter Facebook Linkedin Flipboard Email
×

Budget, comex, données… Quels sont les axes majeurs pour lutter contre les cyberattaques ?
Budget, comex, données… Quels sont les axes majeurs pour lutter contre les cyberattaques ? © Ayrus Hill/Unsplash

En un an seulement, les attaques par ransomware ont été multipliées par quatre, alertait l'Agence nationale de la sécurité des systèmes d'information (Anssi) il y a quelques semaines estimant qu'il était urgent d'agir.

un guide Dédié aux dirigeants
Bien que le risque zéro n'existe pas, quelques conseils pratiques appliqués scrupuleusement permettent de renforcer la sécurité informatique des entreprises. C'est ce qu'a voulu montrer un guide destiné aux dirigeants et dirigeantes créé à l'initiative du Conseil de l'économie et de l'information du digital (CEIDIG), une association française qui rassemble des organismes privés et publics acteurs de la transformation numérique avec un intérêt fort pour sa sécurité.

Ce rapport, qui vient d'être publié, a été rédigé par des organisations, telles que l'Anssi et Cybermalveillance.gouv.fr, des entreprises du secteur comme Orange Cyberdéfense ainsi que des grandes écoles. Le but : délivrer des conseils simples à destination des multinationales comme des PME.

Personne n'est épargné
Le guide rappelle au préalable que tout le monde est potentiellement une cible pour les hackers. Même les données en apparence les plus anodines peuvent être convoitées car associées entre elles, elles rendent plus crédibles les attaques. En effet, un message contenant plusieurs informations vraies, telles que des dates de congés, une date de naissance…, incite à cliquer davantage et rend le piège plus difficile à déceler.

L'attaque "star" est le couple ransomware/phishing qui représente 80% des cyberattaques françaises, d'après le guide. La menace peut également venir de l'intérieur, lorsqu'un employé effectue involontairement une mauvaise manipulation provoquant une fragilité. Il y a également la malveillance réalisée volontairement par un collaborateur. Ainsi, les personnes disposant "de droits élevés" et "accédant facilement aux contenus numériques de l’entreprise" sont les cibles privilégiées des criminels.

La PME Lisa Charmel plombé par une cyberattaque
Les conséquences d'une cyberattaque peuvent être dramatiques, note le guide. Au-delà des effets immédiats tels que l'arrêt brutal de l'activité ou les frais opérationnels de renfort, un tel incident peut faire plonger une entreprise. C'est le cas par exemple de Lise Charmel, une PME de lingerie féminine, qui a été placée en redressement judiciaire en février 2020 à la suite d'un rançongiciel intervenu en novembre 2019.

Pour anticiper les effets d'une cyberattaque, les entreprises doivent adopter une bonne hygiène informatique. Pour y arriver, le guide recommande de se poser une série de questions : quelles sont les activités indispensables au bon fonctionnement de l'entreprise, quelles sont les données sensibles, qui fait quoi avec ces données, est-ce qu'une assurance spécialisée a été souscrite… ?

5 à 10% du budget informatique doit être dédié à la sécurité
La question du budget alloué à la cybersécurité doit également être un axe majeur de réflexion au sein des entreprises quel que soit leur taille. A ce sujet, les auteurs du rapport alertent sur le fait que 6 entreprises 10 n'ont pas alloué ou transféré de budget spécifique pour lutter contre la fraude et la menace cyber. Etant donné que chaque situation est différente, le guide ne propose qu'une fourchette : consacrer 5 à 10% de son budget informatique à la sécurité est "déjà un bon niveau de prise en compte du sujet".

La structure organisationnelle est essentielle. La cybersécurité doit être gérée comme un élément transversal dans l'entreprise. "Elle concerne tout le monde, à tous les niveaux, depuis la conception d'un projet jusqu'à son exécution et sa vente", indique le guide. Le comité exécutif (comex) doit également s'emparer du sujet afin de créer une réelle gouvernance du cyber risque. Le guide lui réserve une série de conseils "à forte valeur ajoutée", tels que la mise en place de la pratique du "security by design", l'identification des points critiques et des données sensibles…

Impliquer les collaborateurs dans la lutte
En tant que premières cibles des hackers, les employés doivent être impliqués dans la gestion de la sécurité. Ainsi, "sensibiliser les collaborateurs à la cybersécurité et leur donner des moyens pour qu'ils soient plus responsables et plus actifs n'est plus une option", d'après les auteurs du guide. C'est un enjeu de taille puisque 60% des cyberattaques peuvent être attribuées à des comportements humains inadéquats.

Les risques juridiques ne doivent plus être sous-estimés. "Le message que veulent ainsi faire passer les autorités est clair : la négligence en matière de sécurité numérique n'est plus pardonnable", préviennent les auteurs. Ils conseillent aux entreprises de disposer d'un annuaire à jour de prestataires (huissiers, juristes, avocats…), de réaliser régulièrement des audits avec ses partenaires, de protéger leur propriété intellectuelle, privilégier les solutions européennes et de déposer plainte en cas d'attaque.

La responsabilité des dirigeants peut être engagée
En cas de faute de gestion, la responsabilité civile et pénale des dirigeants d'une entreprise peut être engagée. En effet, le juge pourra considérer que cela constitue une faute si les résultats de la société, voire sa pérennité, en étaient affectés. Le guide alerte sur le fait que certaines compagnies d'assurances commencent à refuser désormais d'assurer les dirigeants et de couvrir la responsabilité civile des mandataires sociaux si leur entreprise n'est pas elle-même assurée contre le cyber risque.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.