En janvier 2019, le baromètre de la cybersécurité des entreprises* publié par le CESIN établissait que 80% des entreprises avaient subi une cyberattaque au cours des 12 derniers mois. La transition numérique des entreprises est bien passée par là en favorisant l’émergence de nouveaux risques parmi la dépendance technologique aux outils, la généralisation du Cloud et l’interconnectivité des systèmes informatiques. Ces deux dernières années, les cyberattaques ont également eu un impact retentissant.
La plus célèbre reste sans doute celle du ransomware WannaCry en 2017 : 150 pays touchés, 300 000 postes infectés, des entreprises internationales entièrement paralysées. Le 21 novembre 2018, le rapport de l’Institut Montaigne attise les craintes en soulignant que l’hypothèse d’un « cyber ouragan » en France ne relevait désormais plus des livres de science-fiction. Pourtant, selon le même sondage, le budget « cybersécurité » des entreprises ne représente encore que 5% du budget IT en dépit du désir pour 59% d’entre elles d’allouer des budgets supplémentaires à ce secteur. Désormais conscientes des risques, les entreprises ne semblent pourtant pas se donner les moyens minimes de se protéger. Face à des attaques qui témoignent d’une grande ingéniosité, comment inciter les entreprises à se lancer dans cette voie ?
Panorama de la cybersécurité
Aujourd’hui, le consensus sur la nécessité de prendre la question de la cybersécurité au sérieux semble partagé par un nombre croissant d’entreprises. En réalité, le paysage de la cybersécurité est plus disparate. Certes, les entreprises qui ont été attaquées se sont progressivement engagées dans une politique de sécurité mais il reste encore des entreprises (notamment les PME) qui n’effectuent pas ces démarches par manque de moyens ou d’intérêts. Certaines entreprises persistent à privilégier la productivité au détriment de la sécurité ou pensent n’avoir jamais subi de cyberattaques, alors que bien souvent, elles ne possèdent même pas les moyens de détection adéquats.
Pourtant, les entreprises à n’avoir jamais été attaquées restent une denrée rare. Selon les chiffres du Cesin, en 2017, 9 entreprises sur 10 ont été frappées par une attaque informatique, soit 92 %. Face à ces attaques, la réponse défensive reste maigre. En effet, selon une étude IFOP, si 21 % des entreprises ont été victimes au cours des douze derniers mois d’une cyberattaque, 45 % des dirigeants n’ont pas renforcé leurs mesures de sécurité. Plus nombreuses, plus variées, les attaques sont surtout bien plus automatisées qu’il y a quelques années. En 2018, le duo robotisation des attaques informatiques et intelligence artificielle ne connaît pas encore de réponses défensives automatisées. De nos jours, certains malwares sont si développés qu’ils peuvent s’infiltrer au sein de systèmes, voler des données, et s’effacer d’eux-mêmes. De l’infiltration à la suppression, la menace informatique est devenue un système plus globalisé et la défense, défaillante.
Surpasser les antagonismes : productivité versus sécurité
Pour s’engager en cybersécurité, les réponses à apporter ne sont pas uniquement budgétaires. La prise de conscience est là. La culture du risque émerge mais elle se heurte encore à une forte culture d’entreprise concentrée autour de la productivité. En effet, dans les représentations collectives, le budget sécuritaire a souvent été perçu comme un frein à la productivité des entreprises. Aujourd’hui, il est devenu la condition sine qua non de la productivité. Mais aussi la garantie de la pérennité des structures d’entreprises. Un retour à la culture papier en cas d’attaques est impossible. Il faut pouvoir assurer que le système perdure.
Or ne pas repenser les modèles de productivité en y intégrant la cybersécurité, c’est exposer l’entreprise à des risques qui sont plus grand qu’elle. Les risques sont financiers dans un contexte où faire tomber des marchés est plus facile. Une journée d’arrêt en usine peut se chiffrer en millions d’euros de chiffre d’affaires perdu. En juin 2017, après avoir subi l’attaque du ransomware NotPetya, l’entreprise Saint Gobain a par exemple perdu jusqu’à 220 millions de son chiffre d’affaires. Les risques sont également stratégiques : le vol de secrets puis leur divulgation aux yeux du monde peut contraindre par exemple une entreprise à rappeler l’ensemble de ses produits, auriez-vous envie d’acheter une voiture que tout le monde peut voler avec un ordinateur, ou une caméra de vidéosurveillance à laquelle n’importe qui peut se connecter ? Ils concernent également l’atteinte à la vie privée des clients : vol de données médicales, attaques au pacemaker. Enfin, en terme de réputation certaines attaques peuvent s’avérer tout aussi dommageables.
Une sensibilisation plus immersive ?
S’il faut changer de paradigme dans la culture d’entreprise, il faut aussi changer le modèle de la sensibilisation au travail. En 2018, la formation des salariés est une nécessité. Mais cet enjeu est loin d’être nouveau. Il y a 17 ans, la sensibilisation au risque informatique poursuivi en interne reposait sur la réprimande. En réunion, on alertait les salariés sur les risques qu’ils encouraient pénalement ou bien dans le droit civil en cas d’entorses à la règle.
Or, cette politique coercitive ne fonctionne pas. Elle est au contraire bien plus efficace quand on donne la possibilité aux individus d’être directement confrontés aux problèmes. C’est pourquoi quelques entreprises se sont mises à innover sur ce point en mettant en place des mises en situation du salarié. Elles passent notamment par la réalité virtuelle. C’est en tout cas l’expérience menée par Wafa Assurance avec ses salariés. Muni d’un casque, face à un bureau, l’employé est plongé dans un environnement de travail et sommé de trouver les comportements à risque : un badge oublié, un post-it avec les identifiants etc. De même, les serious games comme « Keep an Eye » sont également des outils de plus en plus mobilisés. Tous se basent sur des scénarios de situations quotidiennes. Exemple type : l’étude des profils sur les réseaux sociaux d’une responsable des achats dans un grand groupe peut permettre d’identifier ses centres d’intérêts. Ainsi, l’ouverture d’un mail proposant des réductions pour ses cours de cuisine favoris ouvre une brèche qui permettra à l’attaquant jusqu’à la prise de contrôle du poste de la victime. Le verdict est simple : le vol de ses données aura un impact, pour elle, voir pour son entreprise et cet impact sera vraisemblablement financier.
La cybersécurité ne fait pas toujours partie des fondamentaux des entreprises. Raison de plus pour sensibiliser les salariés, repenser les modèles archaïques, polariser la productivité autour de la sécurité d’une entreprise dans un contexte où la menace ne manque ni de créativité ni de portée.
* Source : https://www.opinion-way.com/fr/component/edocman/?task=document.viewdoc&id=2019&Itemid=0
__________
René Thiel est Directeur CyberSécurité – Groupe SII