La cybersécurité, nouvel enjeu clé pour les entreprises

Individus comme organismes évoluent désormais dans un univers ultra connecté, interconnecté, marqué par une mobilité exponentielle des données. Un foisonnement digital qui n’est pas sans danger. Cybervol de technologies, rançongiciel, cyberespionnage… les révélations faites par les médias se multiplient et il est probable qu’elles ne représentent que la partie immergée de l’iceberg. Le Global Risk Report 2021 du World Economic Forum l’affirme clairement : les cyber-risques ne cessent de progresser dans le classement des grandes menaces de l’équilibre de notre planète. Retour sur les contours d’une véritable fragilité digitale, et ses conséquences pour les multinationales comme les PME.

2020 a – aussi – été l’année de l’explosion des attaques informatiques. Le nombre de victimes de cyberattaques a ainsi été multiplié par quatre en un an¹. Si le phénomène était déjà en expansion, la concomitance de cette accélération avec la crise sanitaire n’est pas le fruit du hasard. « Avec la pandémie, les entreprises ont massivement et soudainement recouru au télétravail, sans souvent y être préparées, explique Laura Peytavin, ingénieure chez l’éditeur américain de cybersécurité Proofpoint et présidente de l’association des ingénieurs de Télécom Paris. La conséquence est que la surface d’attaque s’accroît fortement. » Un phénomène qui vient s’ajouter à d’autres faiblesses déjà exploitées par les cybercriminels, à commencer par le manque de sensibilisation aux risques, la mauvaise maîtrise des systèmes d’information ou encore le non-respect des mesures d’hygiène informatique.

Des modes opératoires protéiformes

« Mais si la croissance exponentielle de l’IoT (Internet of Things ou Internet des objets) accroît inévitablement le danger, le plus grand risque reste le facteur humain, souligne la spécialiste. Depuis 2010, l’activité des hackers progresse de manière phénoménale ». En cause : des systèmes insuffisamment mis à jour, en raison d’un manque de ressources, de personnel ou même d’intérêt pour le sujet. Les cybercriminels adoptent eux constamment leurs modes d’attaque. Les réseaux sociaux leur servent ainsi à accéder aux données personnelles pour mieux tromper les cibles. « Les hackers cartographient le tissu de relations du personnel de l’entreprise pour pouvoir leur envoyer des messages ciblés de plus en plus vraisemblables. Ils n’hésitent pas à s’inspirer des sciences  cognitives pour jouer sur la peur, la fatigue, le sentiment d’urgence. On a par exemple remarqué que le nombre de messages d’attaque augmente le vendredi après-midi quand la vigilance régresse… »

Infection de milliers d’entreprises dans le monde par le groupe cybercriminel russe REvil², piratage d’Airbus via ses sous-traitants (Altran notamment), attaques par déni de services en sur-sollicitant un site Internet³, attaque du logiciel de gestion de réseau SolarWinds utilisé par plus de 300 000 entreprises dans le monde⁴…. Les modes opératoires se multiplient. Dans la pratique, alors que les pièces jointes ont longtemps été privilégiées, elles laissent place à des liens pour télécharger des applications vers des fichiers cloud malicieux ou des demandes d’échanges de coordonnées bancaires.

Pour les entreprises, les risques, immenses, se situent à plusieurs niveaux : intégrité des données (en cas d’absence de back-up), financier, image, légal… Dans un rapport de février 2020, le Federal Bureau of Investigation (FBI), a estimé à 3,5 milliards de dollars en 2019 les pertes financières dues aux cyber-attaques aux États-Unis⁵.

Culture de vigilance et investissements financiers

Dans ce contexte à haut risque, que faire ? Après plusieurs enquêtes menées auprès de responsables de la sécurité des systèmes d’information (RSSI), l’éditeur de cybersécurité Proofpoint avance quatre priorités : renforcer les contrôles de sécurité, gérer les risques liés aux fournisseurs, soutenir le travail à distance et mettre en œuvre des solutions de sécurisation automatique. « Au sein de l’entreprise, la sensibilisation aux risques doit être appréhendée comme un entrainement, pour créer une boucle vertueuse », explique Laura Peytavin. Ne jamais cliquer sur un lieu dans un mail douteux, ne pas connecter n’importe quelle clé USB sur n’importe quel poste, dissimuler ses mots de passe… autant d’habitudes qui ont leur importance. « Ce travail de prévention tiendra aussi en partie de l’articulation entre le machine learning et l’humain, souligne l’ingénieure. Le but est que l’algorithme, s’il ne bloque pas tous les risques, puisse au moins apporter à chaque personne ciblée un message de vigilance contextualisé  ». Autrement dit, l’éducation du personnel, le développement d’une véritable culture de vigilance, doit s’accompagner d’un investissement financier minimum. Celui-ci sert au cryptage des communications, à la réalisation d’audits de sécurité, à la mise à jour régulière du matériel et des logiciels, au contrôle régulier de la conformité, à la sécurisation des données et des périphériques internés et externes, etc. Des sociétés telles que IBM (International Business Machines Corporation), soutiennent que le budget alloué à la cybersécurité devrait représenter entre 9 et 14 % du budget annuel du département informatique d’une entreprise, révèle CyberShark. En moyenne, les entreprises investiraient plutôt 6 % de ce budget dans leurs actions de sécurité informatique⁶.

Les spécialistes le martèlent : être équipé ne signifie pas être protégé. En 2020, dans un contexte de crise sanitaire et de généralisation du télétravail, les entreprises ont été amenées, en urgence, à revoir leurs pratiques numériques. Selon une étude menée par CensusWide, 83 % des grandes entreprises ont transformé leur approche de la cybersécurité l’année dernière, dans le but de protéger leurs données et leurs workloads sur le Cloud⁷. De même, un nombre croissant de conseils d’administration mettent en place des comités dédiés à la cybersécurité. Une situation qui contraste fortement avec les structures de moindre envergure : faute de ressources financières et humaines suffisantes, les petites entreprises sous-estiment souvent le risque. Pourtant, selon une vaste étude menée par Kaspersky Lab, le coût moyen d’une fuite de données pour une PME s’élève à 117 000 dollars⁸ par incident…

Une approche globale indispensable

On le comprend, le défi est global. Les progrès en matière de sensibilisation doivent ainsi être impulsés par les États et les institutions publiques, à l’image de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en France, qui opère un important travail via la publication de guides ou la diffusion de MOOC.

En outre, dès novembre 2001, une Convention européenne a instauré un système de coopération internationale contre la cybercriminalité, qui a notamment permis aux États de s’équiper plus efficacement, par l’adoption de textes législatifs. Mais il est temps d’aller plus loin. Le World Economic Forum juge ainsi indispensable que la cybersécurité soit incorporée à l’échelle des États, par le biais de principes et de systèmes adoptés par l’intégralité des secteurs publics et privés⁹. En parallèle, l’Union européenne gagnerait probablement à s’inspirer des États-Unis qui se montrent dernièrement extrêmement actifs sur le sujet. Adaptant des méthodes utilisées pour lutter contre le terrorisme, les autorités américaines ont mis en place en juin dernier une « task force » spéciale, au sein du ministère de la Justice, en charge de centraliser les informations liées aux enquêtes. Dans le même sens en France, Bernard Barbier (ancien directeur technique de la DGSE), Jean-Louis Gergorin, (ancien chef du Centre d’analyse et de prévision du Quai d’Orsay) et Edouard Guillaud (ancien chef d’état-major des armées), ont appelé dans une tribune récente¹⁰, à l’adoption d’une doctrine stratégique affirmant une réponse étatique ou encore à la mise en place d’un « programme d’innovation technique et scientifique, d’une ampleur identique aux programmes qui nous ont permis d’atteindre l’autonomie stratégique nucléaire ». Et ainsi se placer, enfin, collectivement, à la hauteur de l’enjeu.

Notes —
1. « L’ANSSI et le BSI alertent sur le niveau de la menace cyber en France et en Allemagne dans le contexte de la crise sanitaire », ANSSI. https://www.ssi.gouv.fr/actualite/lanssi-et-le-bsi-alertent-sur-le-niveau-de-la-menace-cyber-en-france-et-en-allemagne-dans-le-contexte-de-la-crise-sanitaire/
2. « Comment des pirates ont paralysé en quelques heures des centaines d’entreprises dans le monde », Le Monde, 05/07/21. https://www.lemonde.fr/pixels/article/2021/07/05/comment-des-pirates-ont-paralyse-des-centaines-d-entreprises-dans-le-monde-en-quelques-heures_6087085_4408996.html
3. Fanny Pégard, « Quels sont les nouveaux enjeux de la cybersécurité ? », Skillz by Futura,15/09/20. https://www.futura-sciences.com/sciences/questions-reponses/epita-sont-nouveaux-enjeux-cybersecurite-14004/
4. Jean-Marc Guignier, « La cybersécurité, un enjeu crucial pour la survie des PME », Les Echos, 20/04/21. https://www.lesechos.fr/idees-debats/cercle/opinion-la-cybersecurite-un-enjeu-crucial-pour-la-survie-des-pme-1308325
6. Jacky Chou, « How much does cybersecurity really cost? », Entrepreneur, 23/04/21. URL : https://www.entrepreneur.com/article/367141
7. Louis Columbus, « 83% Of Enterprises Transformed Their Cybersecurity In 2020 », Forbes, 18/10/20. https://www.forbes.com/sites/louiscolumbus/2020/10/18/83-of-enterprises-transformed-their-cybersecurity-in-2020/?sh=1f8457437c8b.
8. « IT Security: Cost center or strategic investment? », Kaspersky Lab.  https://go.kaspersky.com/rs/802-IJN-240/images/IT%20Security%20Econmics%20Report%209.18.17.pdf
9. « Cybersécurité en entreprise : enjeux et métiers d’avenir, l’avènement d’une ère nouvelle », Siècle Digital, 29/04/21. https://siecledigital.fr/2021/04/29/cybersecurite-entreprise-enjeux-metiers-davenir/
10. « L’affaire Pegasus montre parfaitement les faiblesses de l’Europe en matière de cyberagressions », Le Monde, 26/07/21. https://www.lemonde.fr/idees/article/2021/07/26/l-affaire-pegasus-montre-parfaitement-les-faiblesses-de-l-europe-en-matiere-de-cyberagressions_6089519_3232.html