Dans le domaine de la cybersécurité, il y a les chiffres et les faits. Sur les premiers, une étude menée par Hiscox observe que 67 % des entreprises françaises avaient déclaré un cyber-incident en 2018, pour un coût moyen de 97 771 euros. De même, 81 % sont à classer dans les « novices » en matière de prévention des cyber-attaques. Pour les faits, l’actualité rappelle quasi quotidiennement les impacts des cyberattaques sur la survie même des entreprises. Ainsi, Lise Charmel, spécialiste de lingerie, a été obligé de se placer en redressement judiciaire de manière préventive après avoir été infecté par un ransomware. D’autres ont eu moins de chance comme la société Clermont Pièce en Auvergne qui a été obligée en 2017 de fermer boutique après un piratage. Le blocage du CHU de Rouen victime de Clop, de la Région Grand Est ou de Saint-Gobain avec NotPetya, ont montré la fragilité des systèmes d’information et une prise en compte minimale du risque cyber dans les entreprises et plus globalement dans les organisations si on intègre le secteur public.
Si le diagnostic est posé, encore faut-il s’intéresser au remède pour éviter au mieux une facture importante, au pire une irrémédiable cessation d’activité. Et pour éviter ce scénario catastrophe, la sensibilisation à tous les étages est de mise. Le premier est la direction de l’entreprise, car l’impulsion et l’exemple viennent d’en haut. Encore faut-il savoir parler à un comex. Pour cela, le Clusif et l’OSSIR ont élaboré un livre blanc sur « la cybersécurité à l’usage des dirigeants ». Ce document reprend quinze thèmes qui sont analysés au travers de leur définition, de leurs enjeux métiers et des risques pour l’entreprise. L’idée derrière ce document est de faire comprendre aux directions générales et aux comités de direction que la cybersécurité n’empêche pas le business, bien au contraire, la sécurité doit être intégrée dedans.
Une sensibilisation des salariés incontournable
Si la direction des entreprises est un des volets importants dans la sensibilisation, la clé de voûte demeure l’individu. En effet, plusieurs études montrent que le salarié reste le maillon faible en matière de cybersécurité, que ce soit par son comportement en matière de mot de passe (la presse se gargarise régulièrement du palmarès des pires mots de passe) ou de navigation dangereuse en téléchargeant des programmes malveillants. Pour éviter cela, il existe des réponses techniques comme le développement des authentifications multifacteurs ou l’apport de l’IA pour détecter des comportements anormaux. Mais ce n’est pas suffisant comme l’indique l’édition 2020 du FIC (Forum International de la Cybersécurité), qui exhorte les RSSI à « replacer l’humain au cœur de la cybersécurité ».
Encore faut-il investir du temps et de l’argent en la matière ! Certaines entreprises sont plus en avance comme Orange qui a annoncé un plan de 1,5 milliard d’euros pour développer les compétences dans le cadre de son programme « Engage 2025 ». Un volet du plan porte sur « développer dans tous ses métiers la pratique et les usages de la data, de l’intelligence artificielle et de la cybersécurité ». Mais toutes les entreprises n’ont pas la taille d’Orange. Pour les TPE et les PME, le gouvernement a élaboré des kits de sensibilisation en complément des recommandations de l’ANSSI et de la plateforme Cybermalveillance.gouv.fr. Au programme, renforcement des mots de passe, reconnaître le phishing, lutter contre l’ingénierie sociale, gérer les données personnelles des clients...
Une sensibilisation rendue d’autant plus importante en période de crise et de confinement. Beaucoup de collaborateurs ont basculé en télétravail en utilisant tous les moyens de collaboration à disposition. Cette situation met sous tension les RSSI et responsabilise un peu plus les salariés qui travaillent en autonomie. Il est donc nécessaire d’avoir de bons réflexes face à des cyberattaques de plus en plus ciblées et qui profitent d’un effet d’aubaine avec la pandémie du coronavirus. La sensibilisation est donc cruciale dans ces moments-là. Sans oublier que la plupart des solutions sont utilisées en mode cloud où la sécurité et la conformité constituent un défi pour les DSI. Selon une étude menée par Thales sur les menaces informatiques, la stratégie multicloud pose aujourd'hui de sérieux problèmes de sécurité : 100 % des entreprises interrogées reconnaissent stocker sur ces plateformes des données sensibles parfois non chiffrées. Pour autant, la bascule dans le cloud est inéluctable et irréversible.
Des assurances en toute garantie
Pour se protéger de ces risques, les entreprises se tournent de plus en plus vers les contrats d’assurances dédiés aux risques cyber. « Il y a deux grands types d'événements déclencheurs pris en compte dans les contrats de cyber-assurance : la malveillance informatique est à l'origine de 80% des sinistres déclarés. Les autres événements (erreurs humaines, bugs, pannes, fuites accidentelles de données) représentent les 20% restants », expliquait à nos confrères de CIO, Jean Bayon de la Tour, responsable Cyber pour l'Europe chez Marsh. Reste que la maturité des entreprises sur la cyberassurance reste faible, si les entreprises du CAC 40 ont souscrit à ce type de police à près de 90%, ce taux est de 20 à 25% dans les ETI et il tombe à 5% pour les PME.
Il faut surtout regarder attentivement les garanties couvertes par un contrat de cyberassurance et notamment de la franchise. Une étude d’Advisen commandée par Zurich fait état de plusieurs entreprises qui n'ont pas été indemnisées car les cyber-sinistres subis étaient en dessous du seuil de franchise de leur contrat. Citons également quelques cas récents d'entreprises victimes du ransomware NotPetya, en litige avec leurs assureurs car ceux-ci refusent de les indemniser (Mondelez, DLA Piper) au motif que l’attaque est considérée comme un acte de guerre.
Au final, il n’existe pas un seul moyen ou méthode pour sauvegarder la survie d’une entreprise aux risques cyber. La réponse doit être plurielle avec un mélange d’information, de sensibilisation à tous les niveaux de l’entreprise, d’implantation des bonnes solutions et de souscription d’une assurance adaptée à ses besoins. La sécurité est toujours à la base une gestion du risque. Il est bon parfois de revenir aux fondamentaux de l’hygiène informatique, surtout en période de crise.