Depuis plusieurs années, les conséquences des cyberattaques dont ont été victimes des entreprises de toutes tailles et tous secteurs d’activités, dans de nombreux pays, ont été mis en lumière. Au regard de leur impact, la nécessité de s’en prémunir s’impose, une prise de conscience qui se généralise et semble créer une volonté de mettre l’IT à niveau.
Cependant ce discours de plus en plus fréquent cache une réalité inquiétante. Une étude de Statista révèle que seulement 3 sociétés françaises sur 10 (petites, moyennes et grandes entreprises confondues) considèrent la cybersécurité comme un enjeu prioritaire. Nous sommes loin d’assister à une augmentation systématique des budgets alloués au développement de la sécurité informatique.
Pourtant, si toutes les entreprises n’ont pas les moyens de se doter des services d’un expert sécurité en interne à plein temps, il existe des moyens permettant de mettre en place, à un coût raisonnable même pour les plus petites structures, un dispositif assurant une sécurité optimale.
1Des dangers avérés
Alors que les ransomwares se sont démocratisés en se faisant connaître lors d’attaques spectaculaires, les vols de données, les attaques en déni de service ou encore le phishing font planer au quotidien une menace sur les entreprises. Ces dernières peuvent se sentir peu susceptibles d’être ciblées, cependant les risques encourus sont considérables. En effet, 60% des petites entreprises victimes d’une cyberattaque n’y survivent pas plus de 6 mois. Malgré cela, une étude de PwC révèle que 67% des entreprises françaises considèrent que le risque de cybermenace dans leur société n’est pas élevé.
Suite à une attaque, les coûts sont conséquents. Toutefois, les répercussions dépassent le périmètre des finances des entreprises. Les vols de données bancaires ou encore d’informations sur les clients compromettent à la fois leur réputation, les tarifs des assurances, les investissements, la fidélité de leurs clients, etc. Et les dépenses pour se remettre d’une attaque peuvent atteindre voire dépasser les 100 000$. En sus, l’activité peut rester au point mort pendant plusieurs jours, pour le plus grand bonheur de la concurrence. Au total en France, en 2017, on estime à 2,25 millions d’euros les pertes causées par ces attaques, un chiffre en augmentation de 50% par rapport à 2016.
2Ne pas se sentir concerné par les risques d’attaque, une erreur qui touche tout un écosystème
S’il est évident de comprendre pourquoi les hackers s’intéressent aux grandes entreprises, par exemple pour la grande quantité de données clients qu’elles possèdent, les petites et moyennes structures ne sont pas en reste. Et elles sont souvent bien plus vulnérables, en particulier les fournisseurs des grands groupes qui constituent une cible de choix. Souvent, dans ces entreprises, un plus grand nombre de données est accessible en ligne, sans pour autant qu’elles ne bénéficient d’un haut niveau de protection ni de plans d’urgence.
Si un hacker cible un patron d’entreprise alors qu’il est sur le point d’entrer son numéro de carte bancaire, ce dernier et sa société sont résolument en danger, mais également toutes les structures dont il est fournisseur.
3L’IT, département en mal de budget
De manière générale, le sujet des menaces de sécurité est de plus en plus fréquemment abordé et on peut déceler une certaine volonté d’augmenter les budgets IT pour bénéficier d’une meilleure protection. Mais ce discours ne se traduit pas systématiquement en actes. Malheureusement les investissements en IT ne sont toujours pas une priorité absolue. Ils sont encore perçus comme un mal nécessaire plus qu’un investissement sur l’avenir.
Le choix de ne pas allouer plus de budget à l’IT découle de deux convictions. D’une part l’entreprise présuppose qu’elle n’est pas exposée au risque, que « cela n’arrive qu’aux autres ». D’autre part, elle est persuadée de ne pas pouvoir se permettre d’embaucher un expert sécurité à plein temps. Si l’histoire a prouvé qu’aucune entreprise n’est à l’abri d’une cyberattaque, il est possible que les finances d’une société ne lui permettent pas de s’offrir les services d’un spécialiste en cybersécurité à temps complet. Pour beaucoup d’entreprises, employer un expert à plein temps dans l’entreprise est effectivement trop cher. Et pendant qu’elles tergiversent ou remettent à plus tard les investissements dans leur sécurité, les cyberterroristes sont en activité constante.
La menace est permanente et pourtant, de nombreuses sociétés ne comprennent pas qu’il est dans leur intérêt, y compris financier, d’investir maintenant un budget bien pensé plutôt que réparer les dégâts et déployer un meilleur niveau de sécurité une fois que l’attaque aura eu lieu. Tant que l’entreprise n’est pas victime d’attaque, le budget dédié à la sécurité peut être perçu comme une dépense frustrante, voire inutile.
Cependant, pour 86 500$ perdus en moyenne, les entreprises dépensent 14 à 21K$ pour se reconstruire. A cela s’ajoutent les coûts de réparation, l’intégration de nouveaux logiciels, les coûts de formation à leur utilisation, les dépenses de communication… D’où la nécessité d’anticiper pour se protéger en amont.
4Allouer les ressources et les dépenses pour une cybersécurité efficace
Outre la différence de budget disponible, il existe une grande disparité entre les entreprises concernant leurs niveaux de connaissance en cybersécurité et l’évaluation des solutions existantes sur le marché et adaptées à leurs besoins. En l’absence de ressources en interne, dans de nombreux cas, faire appel à des experts s’impose comme une nécessité pour pallier l’absence de ressources en interne, sans pour autant impliquer de recruter des équipes dédiées, à plein temps. En outre, cette option peut rapidement combler une méconnaissance des entreprises sur les outils à implémenter.
Au vu des risques encourus, la meilleure stratégie financière réside dans l’investissement en amont pour une mise à niveau solide de la sécurité informatique de la société. Une fois cette implémentation réalisée, l’entreprise pourra diminuer les ressources allouées à la sécurité informatique pour procéder à la veille des menaces, à la mise à jour des protections, à des tests de vulnérabilité des logiciels ou encore à l’éducation de ses salariés. Elle devra également agir ponctuellement si elle détecte une faille. Ce scénario engendre des coûts nettement plus faibles que ceux causés par des attaques, qui débouchent sur des pertes liées à la diminution voire à l’arrêt de l’activité et peuvent détruire l’entreprise à moyen terme. Il est donc devenu impossible de lésiner sur ce poste de dépense si l’on veut garantir la viabilité de l’IT d’une structure.
La checklist dressée ci-dessous permet de s’assurer que le dispositif de cybersécurité déployé contre bien les risques majeurs de vulnérabilité :
- l’éducation des employés aux bonnes pratiques, pour limiter la probabilité qu’ils soient victimes d’attaques. La pratique du phishing test permet de vérifier leur connaissance des tactiques d’arnaque.
- le recours aux essais d’intrusion et au hacking éthique pour tester et identifier les failles de leurs propres réseaux
- le déploiement de politiques, de protocoles et de normes internes, en s’appuyant sur des fournisseurs externes pour maîtriser l’accès des employés aux ressources informatiques.
- la mise à jour les logiciels et systèmes, cruciale car l’utilisation des anciennes versions ne permet pas de bénéficier de nouveaux patchs qui assurent une protection contre les nouvelles menaces. Elles sont donc plus vulnérables aux virus et aux malwares et ont des vulnérabilités connues et exploitées par les hackers.
- la mise en place de mesures de détection des brèches, pour limiter au maximum la fuite de données
- le développement de la sécurité des terminaux, en particulier lorsque l’entreprise a recours au BYOD (Bring Your Own Device) ou quand les équipes travaillent à distance. Dans ce cas, la sécurité des terminaux et le chiffrement peuvent prévenir la perte de données, que 54% des sociétés ont déjà subie pour cause de perte d’appareils.
Le déploiement de ces dispositifs en faveur d’une cybersécurité efficace sont devenus indispensables. Ils sont un premier pas impératif mais, par la suite, les entreprises doivent être en veille constante pour faire évoluer leur protection au rythme des innovations des hackers. Pour se doter d’un niveau de protection complète, les professionnels ont une panoplie de moyens disponibles (solutions digitales, capital humain, stratégie et assurance). Cependant, s’ils sont bien connus, moins d’1 société sur 5 a mis en place l’ensemble de ces mesures de protection. Or, en investissant dès maintenant dans la cybersécurité, les entreprises limitent le risque d’attaques et, par conséquent, les risques financiers qui en découlent. Et elles prennent une longueur d’avance vis-à-vis de leurs concurrents, fragilisés s’ils sont en retard dans ce domaine.