Les enjeux de la cybersécurité en entreprise restent mal connus, donc mal pris en compte. Or, les effets d’une cyberattaque, d’une défaillance technique ou d’une négligence humaine peuvent sérieusement impacter l’activité d’une organisation. Il est indispensable d’ériger des garde-fous pour se prémunir contre ces risques « cyber ».
80 % des organisations ont subi au moins une cyberattaque ces douze derniers mois. Tel est le constat du baromètre de la cybersécurité des entreprises publié par le Cesin.
Loin de faiblir, le risque cyber devient de plus en plus prégnant. La transformation numérique et ses corollaires (dépendance accrue aux outils, interconnectivité des systèmes d’information, généralisation du stockage dans le Cloud…) ont généré toute une gamme de nouveaux risques contre lesquels les entreprises ne sont pas suffisamment armées.
En matière de cyberdéfense, trop d’organisations s’appuient encore sur des systèmes défaillants et des solutions individualisées, alors que la menace s’est globalisée.
Il y a donc urgence à prendre conscience des risques, et à adopter les bonnes pratiques (technologiques et humaines) pour améliorer la cybersécurité en entreprise.
Cybersécurité en entreprise : des enjeux de plus en plus centraux
Les cyber-incidents arrivent en deuxième position des risques les plus redoutés par les organisations, devant les catastrophes naturelles, d’après le baromètre annuel d’Allianz. L’interruption d’activité occupe la première place, mais au coude à coude avec le cyber-risque – deux préoccupations interdépendantes.
Car les incidents informatiques ont souvent pour conséquence une interruption ou un ralentissement de l’activité, en raison de l’interconnexion toujours plus marquée entre celle-ci et les systèmes informatiques.
En somme, plus l’entreprise dépend de son SI, plus les risques « cyber » sont élevés, et plus les enjeux de la cybersécurité deviennent centraux.
Le besoin de cybersécurité en entreprise est devenu une réalité à laquelle les organisations ne peuvent plus se soustraire. Il y a cinq ans, ces risques occupaient seulement la 15e position du baromètre…
Aujourd’hui, les craintes relatives aux crimes technologiques, aux défaillances informatiques ou aux violations de données, font partie du quotidien des organisations. Avec des effets (négatifs) concrets : ralentissement de la production (pour 26 % des entreprises), indisponibilité temporaire du site web professionnel (23 %), retards de livraison (12 %), perte de chiffre d’affaires (11 %), et arrêt de la production pendant une période significative (9 %). (1)
Pour prendre quelques exemples (tristement) célèbres : en 2015, la cyberattaque dirigée contre la chaîne TV5 Monde a nécessité une reconstruction totale du SI, sur une durée de six mois.
En 2017, suite au ransomware NotPetya, Saint-Gobain a enregistré une perte de 220 millions d’euros. Touchée via un logiciel de l’administration fiscale ukrainienne, la filiale locale du groupe a été contaminée en quelques minutes. Des milliers de données ont été altérées et la direction a dû suspendre tous les réseaux.
La même année, le virus WannaCry a infecté plus de 300 000 postes de travail professionnels dans 150 pays, paralysant des organisations entières…
Des risques à identifier en amont
L’identification des risques en amont est l’un des enjeux majeurs de la cybersécurité en entreprise. C’est qu’il est essentiel de connaître (et de comprendre) ce que l’on cherche à combattre. À ce titre, on peut distinguer trois grandes familles de menaces : les cyberattaques, les risques inhérents aux services Cloud, et les négligences humaines.
Les cyberattaques résultent d’une volonté de nuire, par appât du gain ou pour mettre en difficulté une organisation (dans un but concurrentiel, pour lui soutirer des informations, etc.). On parle alors de « cybercriminalité ». Parmi les attaques les plus courantes :
- L’attaque au virus informatique, qui a pour but d’accéder à un SI défaillant ou mal protégé pour détruire tout ou partie des données de l’entreprise, ou pour soustraire des informations sensibles (secrets de fabrication, droits de propriété, etc.). D’autres types d’attaques peuvent s’en prendre au site web de l’entreprise, par exemple en l’inondant d’informations inutiles pour provoquer un crash.
- Le phishing (hameçonnage) consiste à utiliser un email ou un site web contrefait pour induire un individu en erreur et collecter ses données confidentielles, ou rendre sa machine vulnérable à l’injection d’un logiciel malveillant (malware).
- Le ransomware (littéralement « logiciel de rançon ») infectent les postes de travail en verrouillant l’écran et/ou en chiffrant des données importantes auxquelles l’utilisateur n’a alors plus accès. Pour travailler normalement ou récupérer des informations confidentielles, celui-ci est incité à verser une rançon.
- L’attaque dite « au président », méthode d’extorsion par laquelle un tiers malveillant se fait passer pour un membre de la direction, généralement pour soutirer de l’argent ou des informations.
- Les techniques d’ingénierie sociale, manipulations psychologiques ayant pour objectif de soutirer à un utilisateur des informations de façon frauduleuse, afin d’obtenir l’accès à un système d’information.
Se protéger contre ces attaques suppose d’ériger des barrières ad hoc, donc d’adopter une vraie démarche de cybersécurité en entreprise. Retrouvez notre article : top 10 des différents types de cyberattaques.
Les risques liés aux services Cloud et les négligences humaines sont interdépendants. Le stockage des données en ligne ne génère de risque véritable qu’à partir du moment où les outils sont mal utilisés (ou mal configurés à la base), ou bien lorsque les utilisateurs font preuve de négligence au regard des consignes élémentaires de sécurité.
Utilisation d’applications Cloud qui n’ont pas été approuvées, erreurs de configuration SaaS/IaaS/PaaS, partage accidentel de données sensibles… Ces risques augmentent à mesure que les outils Cloud prennent plus de place dans l’organisation.
Et la principale menace pesant sur les organisations est interne : 80 % des entreprises sont confrontées au risque de voir des comptes utilisateurs compromis (3). Cette pratique, qui consiste à utiliser des applications personnelles à des fins professionnelles (avec tous les risques afférents), s’appelle le « Shadow IT », ou « informatique de l’ombre ».
Le danger n’est pas négligeable : 86 % des applications Cloud utilisées au sein des organisations n’ont pas été autorisées par la DSI, selon une étude CipherCloud.
Le problème ne réside pas dans le stockage sur le Cloud, qui offre plus d’avantages que d’inconvénients en matière de sécurité (ne serait-ce qu’en sauvegardant les données sur des serveurs externes, loin des menaces matérielles qui pèsent sur les locaux des entreprises), mais dans le manque de sensibilisation des collaborateurs aux risques liés à la non-maîtrise des processus de collecte et de stockage. La cybersécurité en entreprise est un enjeu humain avant d’être un enjeu technologique.
Une prise de conscience progressive
Un nombre croissant d’entreprises prend conscience de la nécessité de créer des cyber-garde-fous. Trop souvent, néanmoins, cette prise de conscience est le fait de victimes d’attaques.
Les autres ont encore trop de freins, notamment l’opposition entre « culture du risque » et « culture de la productivité » : elles pensent, à tort, que la seconde doit primer sur la première, alors même que la sécurité est l’une des conditions de la productivité. En cas de cyberattaque, il faut bien que le système perdure.
À ce jour, la cybersécurité en entreprise représente moins de 5 % du budget alloué aux TIC (c’est vrai pour 59 % des organisations (1)). C’est loin d’être suffisant.
Pour Guillaume Poupard, patron de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), « le budget alloué à la cybersécurité des entreprises devrait représenter au moins 10 % du budget global du DSI ».
Identifier les risques, c’est une bonne chose. Mais il faut aussi se donner les moyens de s’en prémunir. Or, dans ce domaine, les investissements ne font pas tout : s’il est essentiel d’adopter les outils adéquats, le premier levier de cybersécurisation a trait aux collaborateurs eux-mêmes.
Les bonnes pratiques pour renforcer la cybersécurité en entreprise
Au regard des enjeux grandissants de la cybersécurité en entreprise, quelles sont les bonnes pratiques pour renforcer ses garde-fous numériques ?
- Adopter les bons outils. À menace numérique, réponse technologique : il existe des outils à mettre en place en amont pour prévenir les risques (c’est le cas des solutions Oodrive pour le stockage et le partage des données, pour l’authentification par signature électronique, etc.), pour détecter les menaces, pour les analyser, et pour corriger/renforcer les éventuelles failles techniques.
- Mettre à jour les logiciels existants. Les outils de l’entreprise doivent être actualisés régulièrement pour prendre en compte les menaces les plus récentes. C’est vrai des antivirus, mais pas seulement.
- Identifier les données sensibles à protéger. Toutes les informations ne se valent pas, certaines sont plus précieuses que d’autres. Il est nécessaire d’identifier les données à risque et de focaliser ses efforts sur leur protection – surtout dans le cadre du RGPD, qui veille à la bonne utilisation et à la sécurisation des données utilisateurs.
- Sauvegarder les données et les mettre en lieu sûr. Cela permet d’éviter que les données essentielles de l’entreprise soient altérées, dégradées ou supprimées, avec des conséquences majeures sur l’activité. Une restauration des données et/ou du système, grâce à une solution de backup, contribue à limiter les effets négatifs d’une cyberattaque.
- Renforcer les droits d’accès. Avec les solutions en mode SaaS et le stockage sur le Cloud, un simple mot de passe ne suffit plus. Les accès doivent être protégés par des mécanismes d’authentification forte.
- Créer un plan de continuité d’activité. C’est une précaution essentielle pour préserver l’activité d’une entreprise et lui permettre de se remettre sur les rails aussi vite que possible à la suite d’une attaque.
- Sensibiliser les collaborateurs à la cybersécurité en entreprise. C’est le point clé : selon une étude publiée par l’Université de l’Alabama à Birmingham en 2015, 75 % des organisations voient la négligence des salariés comme la principale menace pesant sur les données sensibles.
La sensibilisation des collaborateurs, clé de voûte de la cybersécurité
Insistons sur la dernière bonne pratique de notre liste. Pour les RSSI (responsables de la sécurité des systèmes d’information), l’enjeu numéro un de la cybersécurité en entreprise est celui de la sensibilisation des utilisateurs et de leur formation. Même sensibilisés, les salariés s’impliquent peu et tendent à négliger les recommandations qui leur sont faites.
En 2017, le cabinet Deloitte a été victime d’un piratage qui a duré plusieurs mois : les hackers ont accédé au SI en passant par un compte administrateur mal protégé (par un simple mot de passe).
En cause : une erreur humaine, celle d’un employé qui s’est facilité la vie en optant pour un mécanisme d’authentification aussi peu exigeant que possible.
La dimension humaine est donc primordiale. Derrière son écran d’ordinateur, de smartphone ou de tablette, le collaborateur est en première ligne face aux risques « cyber ».
C’est cette position privilégiée qui en fait aussi le principal maillon faible de la chaîne de cybersécurité en entreprise, comme le prouvent les « succès » remportés par les malwares, ransomwares et autres « techniques d’ingénierie sociale » qui jouent sur la crédulité des personnes pour atteindre leur but.
Il y a donc tout un travail pédagogique à mener, en amont, auprès des collaborateurs. Charte pour matérialiser les bonnes pratiques individuelles et collectives, formations en présentiel, sessions d’e-learning permettant des formations à distance et au rythme de chacun, mises en situation à travers des attaques factices…
Autant de méthodes pour enseigner aux salariés les rudiments de la cybersécurité en entreprise, et le rôle que chacun d’eux peut y jouer – au-delà des outils.
En matière de cybersécurité, l’utilisateur est souvent vu comme une partie du problème. En réalité, il est surtout une grande partie de la solution. Adopter les bons outils de protection est un excellent début ; mais il faut encore sensibiliser les utilisateurs, les former aux bonnes pratiques, et leur montrer qu’ils sont les leviers les plus efficients pour garantir la sécurité numérique de leur organisation.