Avec 100.000 cyberattaques recensées en France chaque année, toute organisation doit se préparer à l’éventualité d’une telle crise. À commencer par repenser leurs systèmes de sécurité informatique et sensibiliser leurs salariés afin de mieux détecter les attaques et gagner en résilience. Explications.
Si le cyber-risque était un pays, il serait la troisième économie mondiale, juste après les États-Unis et la Chine. Depuis 2018, les cyberattaques n’ont jamais cessé d'augmenter. En 2021, elles ont même explosé de manière spectaculaire : une hausse de 60 %, après avoir quadruplé en 2020. Parmi les actes de cybercriminalité, ce sont les rançongiciels ("ransomware") qui sont les plus à redouter.
Le mode opératoire : chiffrer les données d’une organisation puis exiger une rançon. L’organisation se retrouve paralysée, prise en otage. Le risque n’a jamais été aussi prégnant pour les organisations. “Non seulement, les menaces augmentent, mais aussi les surfaces d’attaque. La digitalisation rapide des entreprises dans le contexte de la pandémie et du recours massif au télétravail a augmenté le niveau d’exposition des entreprises”, explique Stéphane Chmielewski, Directeur des Services et de l’Innovation de IMS Networks. Les organisations n’ont d’autre choix que d’anticiper les attaques en réinventant leurs systèmes de sécurité.
Mieux vaut prévenir que guérir
Aucun secteur d’activité ni zone géographique n’est épargné. Les organisations criminelles profitent souvent du faible niveau de maturité en sécurité numérique de leurs victimes. Mais, elles peuvent également s’attaquer à des organisations aux moyens financiers importants ou aux activités critiques : les collectivités territoriales, les établissements de santé, les entreprises industrielles ou de services numériques sont celles plus particulièrement visés par les cyberattaques.
“Pour ces organisations, les dommages sont conséquents et vont bien au-delà de la perte de données. Une entreprise qui subit une attaque met environ sept semaines à redémarrer. Pendant ces sept semaines, la production est à l’arrêt. Les employés sont mis au chômage forcé. Le chiffre d’affaires est en chute libre. L’entreprise voit sa réputation altérée et perd la confiance de ses clients. C’est une véritable catastrophe pour l’organisation”, raconte Stéphane Chmielewski. En 2021, le coût de la cybercriminalité a dépassé les 6 000 milliards de dollars de pertes. Un chiffre qui devrait atteindre 10 000 milliards de dollars de dommages en 2025. Une faille informatique constitue une perte moyenne de 3,8 millions d’euros pour l’organisation attaquée. Pas étonnant que 16 % des cyberattaques menacent la survie d’une entreprise. “C’est un véritable enjeu stratégique pour les directions générales. Car c’est désormais un risque d’entreprise. Ce n’est pas juste un risque informatique”, confirme Stéphane Chmielewski.
Investir davantage dans la cybersécurité
Les entreprises sont-elles suffisamment conscientes des enjeux ? Peut-être, mais cela ne se traduit pas suffisamment dans leurs engagements financiers. Pour Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information, “le budget alloué à la cybersécurité des entreprises devrait représenter au moins 10 % du budget global de la DSI”. Un effort financier important que les organisations ont encore du mal à concéder.
“Ce qui est décevant pour un DSI, c’est qu’il ne peut pas vérifier le retour sur investissement. Il se dit : “il ne nous est rien arrivé cette année. Est-ce de la chance ou est-ce grâce aux dispositifs de sécurité qu’on a mis en place ?”” constate Aurélien Bouzon, expert Cybersécurité d’IMS Networks. Se protéger, c'est comme fermer la porte de sa maison. Ça paraît évident. Tout le monde doit se protéger, installer une bonne serrure et toujours penser à bien la fermer. Mais, la sécurité à 100 % n'existe pas. Et comme elle a un coût, beaucoup d’acteurs optent, à la manière des assurances, pour un calcul du coût/avantage/risque.
Détecter plus rapidement les attaques
Pourtant, “les entreprises ont une très forte probabilité de se faire attaquer. La probabilité est également très forte qu’elle ne le détecte pas tout de suite. Le délai moyen pour repérer une attaque est de 208 jours. 208 jours pendant lesquels le cyberattaquant tisse sa toile”, affirme Stéphane Chmielewski. Il est essentiel d’améliorer sa capacité à détecter rapidement une attaque pour en limiter les conséquences.
Pour ce faire, quelles technologies sont à privilégier ? Une chose est sûre, le périmètre de sécurité traditionnel basé sur le Firewall ne suffit plus à protéger les usagers qui se connectent de n’importe où, ni à sécuriser les applications livrées depuis le Cloud, ou encore à assurer la confidentialité des données en transit. L’enjeu est désormais d’amener des éléments de sécurisation au plus près des utilisateurs. Il faut aussi aller vers davantage de segmentation. Ceci pour éviter que la cyberattaque ne touche la totalité du système d’information.
Moderniser son système de sécurité
“Des pare-feu nouvelle génération, des EDR, des proxy, du zero-trust… Cette suite d’éléments techniques permet de repérer les anomalies et de détecter rapidement les attaques”, recommande Aurélien Bouzon. La solution idéale ? Adopter la démarche Secure Access Service Edge (SASE) pour avoir une meilleure visibilité de sa politique de sécurité.
Car, “l’innovation de cette architecture basée sur le Cloud tient dans le regroupement des solutions pour limiter les points de contrôle sur un même sujet. Le SASE agrège de manière cohérente toutes les applications dans un seul flux de contrôle. Cela apporte davantage de simplicité : il n’est plus nécessaire de regarder 15 consoles différentes pour avoir une réponse à une question simple”, explique Stéphane Chmielewski. Un avantage considérable quand on est confronté à l’urgence d’une cyberattaque et que chaque heure compte.
Les cyberattaques sont l’affaire de tous
Autre aspect à ne pas négliger ? Former les équipes aux cyber-risques afin qu’elles adoptent les bons réflexes. Cette intelligence humaine est tout aussi cruciale que la technologie pour lutter contre la cybercriminalité. “Tout utilisateur doit être sensibilisé car c’est le premier vecteur d’attaque et le dernier maillon pour protéger son entreprise. S’il est bien entraîné, les chances de s’en sortir sont nettement plus grandes”, indique Stéphane Chmielewski. Soyons clairs. “Rien n’est inaccessible pour un cyberattaquant disposant de moyens importants. Quelles que soient les solutions de sécurité qui ont été mises en place, lutter contre cette attaque, ce sera David contre Goliath”, assure Aurélien Bouzon. Il convient donc d’anticiper ces attaques mais aussi la reprise d’activité pour que les systèmes d’information les plus essentiels soient le moins impactés.
Un sujet de gouvernance politique, plutôt qu’une question technique. “Il faut se poser la question de ses actifs critiques en amont de toute crise. Dans quel ordre, faut-il faire repartir l'entreprise ? De quoi ai-je besoin a minima pour relancer l’activité ? Des sauvegardes de fichiers clients par exemple. Si on ne se pose ces questions en amont, on n’arrive pas à remonter la pente. Et pour les PME, cela se solde inévitablement par le dépôt de bilan”, soutient Stéphane Chmielewski. Communiquer en toute transparence auprès des salariés, des clients ou encore des actionnaires est également indispensable. De quoi soigner l’image de l’entreprise mise à vif. Là encore, l’anticipation est de mise. Un plan de communication de crise devrait être préparé en prévention. Vous l’aurez compris. Nul n’est à l’abri d’une cyberattaque. Et les entreprises toutes entières doivent se mettre en condition. À vous d’être sur le pied de guerre.
