Cyberattaques : la cybersécurité, un enjeu stratégique pour les chefs d’entreprise

CYBERSÉCURITÉ
Temps de lecture : 5 minutes

Selon une étude d’Euler-Hermes pour l’Association des directeurs financiers et contrôleurs de gestion (DFCG), en 2018, une entreprise sur 5 aurait été visée par plus de 10 tentatives de fraude. Depuis quelques années, ces nouvelles menaces ont mis le sujet de la cybersécurité au cœur des préoccupations des entreprises. D’autant que leur nombre et leur ampleur ne cessent de s’accroître. Une tendance (malheureusement) qui semble vouée à durer et notamment dans le contexte actuel lié à la crise du Covid-19. Le confinement généralisé conduit les entreprises à s’organiser pour que leurs salariés puissent continuer de travailler à leur domicile. Ce développement du télétravail devient également une porte d’accès privilégiée pour les cyberattaques.

Dans ce contexte particulier, Luis Delabarre, CTO en charge de la cybersécurité chez Capgemini, estime que « non seulement, aucun dirigeant ne peut se passer d’une stratégie de cybersécurité, mais qu’en plus leur implication devient indispensable. C’est à eux que revient la prise de décisions en matière de stratégie de défense pour éviter une catastrophe financière mais aussi la prise de parole en cas de crise pour assurer l’image de l’entreprise. » Or, les problématiques demeurent complexes, parfois même, opaques. Alors, quel rôle doivent jouer les chefs d’entreprise ? Quels leviers peuvent-ils utiliser pour rendre leurs organisations plus sûres et résilientes ? Luis Delabarre nous explique.

Cours accéléré sur la gestion de votre sécurité

La façon dont vous gérez la sécurité de vos données et de vos appareils est une priorité absolue dans un contexte de cybermenace en constante évolution.

Télécharger

Des attaques aux lourdes conséquences

Et il n’y va pas par quatre chemins : « les cybercriminels sont aujourd’hui capables de paralyser un hôpital voire de déstabiliser une région entière en visant des infrastructures industrielles critiques comme des centrales électriques ». Le 22 mars 2020, en pleine crise du Coronavirus, l’Assistance publique des hôpitaux de Paris (AP-HP) a été touchée par une attaque de déni de services (type DDos). L’objectif des pirates étaient de noyer les serveurs informatiques sous de fausses requêtes pour les rendre inaccessibles aux utilisateurs de l’AP-HP. Outre ces attaques systémiques, il ajoute que « ce sont les utilisateurs qui restent la cible privilégiée des pirates informatiques ». Les télétravailleurs deviennent des cibles faciles pour le vol de données des entreprises.

Des pertes financières à la clé

Les attaques peuvent avoir des conséquences financières très lourdes si le site marchand de l’entreprise est bloqué ou si l’appareil de production est arrêté. Fin janvier 2020, l’entreprise Bouygues Construction a été victime d’une cyberattaque affectant ses systèmes d’informations. Pour récupérer ses données, un rançongiciel de 10 millions d’euros leur a été demandé. A ce jour, les pertes financières liées à cette attaque ne sont pas encore connues. Les chefs d’entreprise doivent également prendre en considération le coût d’image causé par le vol de données personnelles ou la révélation de failles numériques internes. Luis Delabarre rappelle qu’avec la réglementation RGPD, « le non-respect de ces nouvelles règles de protection des données peut entraîner une amende pouvant aller jusqu’à 4% du chiffre d’affaire. »

Enfin, l’adoption rapide de technologies, comme le cloud ou l’Internet des Objets Connectés (IoT), requiert une vigilance accrue. Par exemple, « le cloud public a longtemps constitué une source d’inquiétudes pour les chefs d’entreprise avec la peur de perdre la maîtrise des données stockées dessus », précise Luis Delabarre. Les investissements doivent s’accélérer et la signature de partenariats avec des spécialistes de la cybersécurité se multiplier.

Lire aussi Cybersécurité : où en est la menace ?

Tous les chefs d’entreprise sont concernés

Il y a 15 ans, seuls les secteurs bancaire et assurantiel étaient vraiment concernés par les cyber-menaces. Aujourd’hui tous les chefs d’entreprises savent que leur organisation peut en être victime. Luis Delabarre affirme ainsi que « les entreprises industrielles, par exemple dans les domaines du transport ou de l’énergie, doivent rattraper leur retard. » Certaines d’entre elles bénéficient même d’un statut particulier en tant qu’Opérateurs d’importance vitale (OIV). Ces entreprises réalisent des activités indispensables ou considérées comme dangereuses pour la population. Plus de 200 entreprises françaises sont concernées par ce statut. Le secteur d’activité majoritaire est celui des transports avec 68 entreprises protégées.

Les attaques concernent également toutes les tailles d’entreprise. Les activités des TPE et PME peuvent être bloquées par des ransomwares, des logiciels malveillants prenant en otage les données contre une demande de rançon. Or malheureusement, Luis Delabarre souligne que ces entreprises « manquent parfois de moyens financiers pour se protéger convenablement. » Pour leurs dirigeants, il est ainsi impératif d’investir dès maintenant et sur le long terme.

Gestion de la sécurité de Microsoft 365

Découvrez les différentes fonctions et solutions qui peuvent aider les entreprises à obtenir la visibilité, le contrôle et les conseils dont elles ont besoin pour gérer leur sécurité.

En savoir plus

Le rôle indispensable du dirigeant

Pendant longtemps, le rôle des chefs d’entreprise se limitait à la constitution des budgets alloués à la cybersécurité. Les équipes responsables de la sécurité des systèmes d’information (SI) prenaient ensuite le relais avec des initiatives d’intelligence tactique pour déterminer les adresses IP à bloquer, éliminer les virus détectés…

Aujourd’hui, Luis Delabarre affirme « que les chefs d’entreprise passent d’une posture passive à une posture d’acteur pour défendre leurs actifs. » Il s’agit de mettre en place une véritable intelligence stratégique. Une coopération main dans la main avec leur DSI (Directeur des systèmes d’information) et leur RSSI (Responsable des systèmes de sécurité et d’information). C’est essentiel pour démontrer aux actionnaires et aux différentes parties prenantes qu’une stratégie claire existe. Une fois cette stratégie établie, les chefs d’entreprise doivent dès lors anticiper et savoir comment réagir à une crise en étant intégrés dès le départ au plan de remédiation et de communication. Ils seront alors prêts à prendre les décisions sur l’activité de l’entreprise. Comme par exemple, la fermeture temporaire d’un service ou d’une chaîne de production. Elles pourraient engendrer un impact négatif sur sa réputation.

Luis Delabarre cite l’exemple de Capital One. La dixième plus grande banque américaine qui a subi la fuite de 100 millions de ses données clients. Des données stockées dans le cloud. Lors de cette crise, “le PDG était en première ligne pour se défendre, expliquer la situation et détailler les actions mises en œuvre.”

Lire aussi Quels sont les nouveaux défis de la cybersécurité ?

Quelques recommandations pour les chefs d’entreprise

Luis Delabarre préconise tout d’abord de “s’entourer des meilleurs experts et talents”. Néanmoins, cette tâche s’avère difficile car la demande ne cesse d’exploser face à la recrudescence de cyberattaque mondiale. Conséquence ? Les data scientists, développeurs et ingénieurs coûtent très chers. Si bien que toutes les entreprises ne sont pas capables de s’attacher leurs services.

Les chefs d’entreprise doivent également travailler avec des partenaires à même de les conseiller en amont. L’objectif de cet accompagnement ? Mettre en place de bons outils et pratiques de gouvernance. Et assurer une surveillance 24h/24 des ordinateurs et systèmes informatiques.

Lire aussi Cybersécurité : 7 termes à connaître pour épater votre DSI

Luis Delabarre ajoute qu’il ne faut “pas uniquement miser sur les technologies qui apportent des solutions ponctuelles, comme les pare feux, mais plutôt miser sur des systèmes de contrôle continu.” Demain, la clé du succès sera une cybersécurité capable d’évoluer au gré des nouvelles menaces pour s’améliorer au fil du temps. Il est impérieux d’intégrer les dernières technologies aux systèmes de cybersécurité. L’intelligence artificielle et la computation quantique permettent de renforcer le cryptage des données.

Le chemin est encore long car 70% des entreprises ne parviennent pas à passer du Proof Of Concept (POC) au déploiement de ces solutions. “C’est pourquoi les dirigeants doivent toujours mieux comprendre le fonctionnement de ces différentes solutions. Et échanger avec leurs homologues pour connaître les bonnes pratiques et ainsi accélérer leur déploiement en interne” conclut Luis Delabarre.

close popup close popup

Inscrivez-vous à notre newsletter mensuelle

Le Best-Of de nos articles tous les mois

Je m'inscris