[EXCLUSIF] Depuis quelques années, le monde fait face à une épidémie d’une forme nouvelle. Elle est numérique et se nomme la Cybercriminalité. En effet, depuis le début des années 2000 et l’explosion des nouvelles technologies de l’information, un grand nombre d’attaques cybercriminelles ont vu le jour. Pour citer quelques-unes, le réseau de Playstation s’est fait dérober des données personnelles et bancaires en 2011 ; il a été découvert en 2012 que le groupe AREVA a subi une intrusion informatique et des vols de documents pendant près de 2 ans ; le géant LinkedIn accusait en 2012 une fuite de 15 millions de données utilisateurs… ; et comment ne pas évoquer la vaste cyber-attaque qui s’est produite en juin 2017, visant des banques, des multinationales, des distributeurs, des réseaux sociaux, paralysant ainsi de nombreuses infrastructures telles que le métro de Kiev en Ukraine.
Des entreprises de plus en plus exposées…
Ces différentes menaces, d’espionnage, de fraudes, de négligence ne sont pour la plupart que la conséquence directe des grands enjeux auxquels sont confrontées les entreprises. D’une part, le système d’information devient de plus en plus étendu. En effet, l’évolution des modes de travail tels que le télétravail, le BYOD (Bring Your Own Device), les outils collaboratifs, les réseaux sociaux, le Cloud Computing… font que les entreprises se voient contraintes, sous peine de perdre des parts de marché, d’ouvrir leur système d’information à des particuliers, à leurs clients, à leurs fournisseurs. D’autre part, afin de répondre aux différents besoins de leurs clients, elles sont amenées à développer des applications toujours plus « customisées », favorisant ainsi la complexité du système d’information. Et cette complexité retarde la détection non seulement du problème mais aussi des causes possibles en cas d’attaque. De la mauvaise image aux sanctions générées (qu’elles soient fiscales ou civiles) en passant par une perte de compétitivité, les impacts sont de natures diverses. Par ailleurs, la France est aujourd’hui dans le top 10 des pays où sévit le plus la cybercriminalité avec des pertes estimées à près de 1,8 milliards[1] d’euros en 2016. La question qui se pose n’est donc plus de savoir pourquoi la cybercriminalité augmente, mais plutôt de chercher les moyens de lutter et de mieux s’en protéger.
Avec des moyens de plus en plus réduits
Être la cible d’une attaque pourrait faire penser que seule l’équipe en charge de la sécurité au sein de l’entreprise est responsable. C’est probablement vrai mais, cela étant, la sécurité concerne tout le monde. Du non respect des normes de création des mots de passe sécurisés au non signalement de la perte d’un badge permettant d’entrer dans un bâtiment sécurisé, peut en découler par exemple le risque d’usurpation d’identité. Il ne s’agit pas toujours de revoir l’ensemble de la politique générale de sécurité des entreprises, mais parfois de s’assurer de leur mise en application au quotidien. Les entreprises se doivent de sensibiliser et de responsabiliser leurs collaborateurs. Les formations, des messages percutants, les campagnes de sensibilisation avec l’appui de la direction sont autant de moyens pour créer l’électrochoc nécessaire. Mais il faut également tirer des leçons de l’expérience. En effet, alors qu’entre temps, le système d’exploitation « Windows » a été mis à jour, le virus utilisé lors de cette attaque du 27/06/2017 avait déjà été le même que celui de la cyber-attaque en Mai dernier et qui avait frappé près de 150 pays. Comment dès lors comprendre ou expliquer qu’en moins de 2 mois, certaines sociétés se sont faites attaquées via cette même faille de sécurité ? La réponse est simple, dirons-nous : dans l’inconscient collectif, on ne pense en aucun cas être la cible d’une cyber-attaque.
Sécuriser, c’est d’abord « prévoir » afin d’améliorer la réactivité. Or, ce sujet n’est pas souvent traité dans les projets, notamment dans des projets dits « métier », de peur de multiplier les interlocuteurs et le coût. Seulement, il est déjà trop tard lorsque ces attaques deviennent réalité, les équipes n’y étant pas suffisamment préparées. A titre de comparaison, le budget français de la Défense représente à peine 7% de celui des Etats-Unis. Même s’il faut prendre en compte le contexte géographique, démographique voire économique de ces 2 Etats, on pourrait être amené à penser que la sécurité n’est pas un enjeu prioritaire en France. La mise en place des cellules de veille, l’intégration des volets « Sécurité » dans les projets, le diagnostic de son propre système d’information, la mise en place des scénarii d’attaque et de réponses conditionnelles, ainsi que des exercices pratiques ne permettront peut-être pas d’annihiler tous les impacts, mais au moins de les limiter.
Attention toutefois : multiplier les règles de sécurité pourrait avoir un impact négatif sur les collaborateurs. En effet, certains pourraient se sentir visés, oppressés, surveillés. Même si les collaborateurs doivent ressentir la confiance de la part de leur hiérarchie au quotidien, cette confiance n’exclut pas pour autant le contrôle. On n’est pas protégé parce qu’on pense l’être. La prise de conscience est la 1ère étape car les menaces sont bien réelles. Il convient ensuite de se donner les moyens, et de rester dans une logique d’amélioration continue, puisque le cerveau humain n’a presque pas de limites en termes d’imagination dans un sens comme dans l’autre !
A lire aussi :
Lier sécurité et business, une priorité absolue