Reflets Mag #143 | Transformation digitale : pensez à votre cybersécurité
54 % des entreprises déclarent avoir subi au moins une attaque numérique en 2021. Comment redresser la barre rapidement ? Dorothée Decrop (EXEC PROG 21), déléguée générale d'Hexatrust, donne ses conseils dans Reflets Mag #143. On vous met l’article en accès libre… abonnez-vous pour lire le numéro !
Depuis le début du COVID, les organisations font face à un grand mouvement de dépérimétrisation. Avec le télétravail, l’authentification des salariés ne se fait plus à l’entrée des entreprises, et celles-ci n’ont pas la garantie de qui se trouve derrière l’écran. Les services cloud remplacent peu à peu les serveurs internes, et les fichiers s’échangent de plus en plus en externe. Les collaborateurs utilisent un nombre croissant d’applications, validées ou non par l’employeur. En résumé, les frontières physiques de l’entreprise sont redéfinies.
Dans ce contexte, le Baromètre Allianz 2022 indique que le risque cybersécurité est désormais identifié comme le risque numéro un pour les entreprises au niveau mondial, et comme le deuxième en France. Si le phishing est le vecteur d’attaques le plus répandu, les attaques indirectes par rebond via un prestataire augmentent (21 % vs 16 % en 2019) et ne sauraient être négligées vu leur impact sur les relations entre donneurs d’ordre et sous-traitants.
Renforcer la cyber-résilience des entreprises est donc urgent. Mais ce chantier nécessite de dépasser cinq idées reçues.
Idée reçue n° 1 : Les cyberattaques n’arrivent qu’aux autres
Selon un sondage OpinionWay auprès des membres du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), plus d’une entreprise sur deux (54 %) déclare avoir subi entre une et trois cyberattaques réussies au cours de l’année 2021. Le rapport sur les risques globaux du Forum économique mondial de 20224 rappelle que 2020 a connu une hausse des malwares de 358 %, tandis que les rançongiciels ont augmenté de 435 %.
Il ne s’agit plus de savoir si une organisation fera l’objet d’une attaque – c’est désormais une certitude – mais si elle a mis en place un dispositif suffisamment robuste pour en limiter l’impact.
Idée reçue n° 2 : La cyber est une question d’experts
Les fonctions de responsable de la sécurité des services informatiques (RSSI) sont indispensables au suivi et à la résolution des vulnérabilités informatiques internes. Néanmoins, avec 73 % des attaques qui passent par le phishing ou l’hameçonnage, la protection interne en matière de cybersécurité est non seulement l’affaire de tous, mais aussi celle de chacun. La sensibilisation interne doit devenir incontournable, et les organisations doivent proposer des formations dédiées régulièrement.
Autrement dit : pour être efficace, la politique de cybersécurité ne doit plus être vue comme un sous-ensemble de la stratégie informatique ; sa place est désormais au cœur de la gouvernance des entreprises, portée par la direction ou les Comex. En cas d’attaque, ce sont toutes les fonctions d’une organisation qui sont impactées, l’actif à la fois matériel et immatériel qui est touché : les ressources humaines pour la gestion des collaborateurs, la communication pour la réputation, la gestion administrative et financière pour la rançon, la direction juridique pour la plainte et le RGPD, les fonctions commerciales pour la rupture d’activité et l’exploitation des données clients – et enfin, évidemment, les fonctions informatiques pour la gestion des projets IT et leur remédiation.
Idée reçue n° 3 : La cyber est un sujet technique
Parler de cybersécurité, c’est évidemment parler d’expertise technique et de maîtrise de systèmes d’informations.
Mais, malgré les apparences, la cybersécurité est avant tout une question d’humains. Les attaquants sont des criminels, voire des espions. Les vecteurs des attaques sont des collaborateurs qui en subissent les conséquences directes sur leur carrière, comme l’a récemment révélé Jacques Cheminat dans Le Monde informatique5. Les victimes sont des personnes qui parfois ne se relèveront ni économiquement, ni techniquement, voire ni moralement d’une attaque. Enfin, les défenseurs qui accompagnent les entreprises lors des attaques et de la phase de remédiation constituent des parties prenantes dont le choix est tout sauf neutre.
Idée n° 4 : La cyber, ce ne sont que des contraintes
Définir votre politique de cybersécurité grâce au triptyque formation, processus et outils, c’est aussi l’opportunité de redéfinir vos leviers de compétitivité. C’est en outre vous assurer de conditions de partenariats durables avec votre écosystème en rassurant vos interlocuteurs sur votre niveau de protection. La politique de cybersécurité devient ainsi un choix stratégique pour certaines organisations, en venant renforcer leur proposition de valeur, comme l’illutre le rachat de Tanker par Doctolib.
Par ailleurs, la notation financière et la notation ESG (environnement, société, gouvernance) comportent chacune une référence à la cybersécurité, considérée comme une dimension essentielle de la gouvernance mais aussi de la responsabilité sociétale de l’entreprise, sous l'angle de la protection contre le vol des données.
Idée n° 5 : La cyber, c’est cher
En France, le budget moyen alloué à la cybersécurité représente seulement 3 à 5 % des dépenses informatiques, contre environ 15 % aux États-Unis et 22 % en Israël… dont nous ferions bien de suivre le modèle.
Car ce qui est véritablement exorbitant, c’est le coût d’une interruption d’activité, d’une rançon, d’un vol de données stratégiques, de la compromission d’informations, d’une atteinte à la réputation. Les sommes allouées à la cybersécurité doivent être résolument perçues comme un investissement en faveur du développement durable des organisations, et non comme un coût.
En conclusion…
Il est plus que jamais temps de développer la culture de la cybersécurité au cœur des organisations. Celle-ci repose sur le triptyque formation, processus et solutions. C’est la conjugaison d’une bonne sensibilisation, d’un investissement raisonnable et d’une bonne organisation du travail qui assure une prévention efficace. Dans ce contexte, chaque collaborateur se doit d’être un maillon fort.
Paru dans Reflets Mag #143. Pour voir un aperçu du numéro, cliquer ici. Pour recevoir les prochains numéros, cliquer ici.
Envie d’approfondir une problématique professionnelle ? Pour découvrir toute l’offre du Service Carrière d’ESSEC Alumni, cliquer ici.
Image : © AdobeStock
Commentaires0
Veuillez vous connecter pour lire ou ajouter un commentaire
Articles suggérés