D’après le dernier baromètre d’Anozr Way, spécialisé dans la lutte contre le piratage et l’analyse cyber, entre les mois de juillet et novembre 2021, le nombre d’organisations ciblées par des rançongiciels a augmenté de… +200% à travers le monde! Quant à la France, la part des sociétés visées par une cyberattaque est passée de 34 à 49% (selon étude Hiscox récente). Cerise sur le gâteau : celles-ci deviennent plus sophistiquées et plus audacieuses chaque année. Face à une telle menace, hôpitaux, tribunaux, entreprises & collectivités doivent (ré)agir sans délais et avec la plus grande fermeté.
Que ces actes malveillants proviennent d’individus, de groupes ou même d’états souverains, il existe en effet des solutions ad’hoc. Pour relever ces défis, la cybersécurité doit se développer, se moderniser et se structurer. Faute de connaissances, d’évaluation du risque ou par manque de ressources, un grand nombre d’organisations sous-estime malheureusement la menace. Or quand elle se produit, les conséquences d’une cyberattaque sont souvent désastreuses. L’étude de Hiscox et de Forrester Consulting doit être ici rappelée : une entreprise sur six victime d’une cyberattaque déclare avoir risqué la faillite.
Préjugé n°1 : La cybersécurité, c’est pour les grosses entreprises
Il y a encore quelques temps, les « assaillants » visaient principalement de grandes entreprises pour maximiser leurs profits. Mais depuis, force est de constater que la donne a changé : toutes les structures, quel que soit leur secteur, quelle que soit leur taille, sont aujourd’hui susceptibles d’être hackées.
Pour atteindre leur objectif final (aka « le grand groupe »), les pirates s’en prennent en effet de plus en plus souvent à son écosystème : fournisseurs, clients, prestataires (souvent TPE et PME). Les techniques s’étant modernisées, il leur est également plus facile de multiplier leurs cibles tout en maitrisant leurs coûts. Des modèles comme le « RaaS » (pour Ransomware as a Service), permettent par exemple de conduire des cyberattaques avec un excellent taux de rentabilité… Partant de ce postulat, toutes les organisations n’ont plus d’autre choix que se protéger. Pour les PME en particulier, soyons honnêtes, cette défense n’est pas neutre : elle engendre un coût financier et humain non négligeable.
Certes, il reste tentant de minimiser le risque, pour éviter un investissement perçu, a priori, comme aussi important qu’inutile. Malheureusement, une fois l’intrusion informatique avérée, les dommages sont irréversibles : plus la taille de l’entreprise est petite, plus grand est le risque de ne pouvoir s’en relever.
Préjugé n°2 : La cybersécurité, on a rien à perdre & rien à y gagner
C’est un fait : il est complexe de savoir pourquoi se protéger avant d’avoir été soi-même victime d’une attaque. La plupart des chefs d’entreprise ont tendance à penser que la cybersécurité ne doit être activée qu’en cas de corruption évidente du système informatique (SI). Toutefois le pari est, à bien des égards, risqué : le coût engagé pour résoudre le problème étant largement supérieur à celui qui aurait permis d’y échapper !
Et plus l’entreprise est petite, plus le montant des pertes est élevé [proportionnellement à sa taille]. Nombreux sont les dirigeants piégés qui sous-estiment les dommages occasionnés. Ils se contentent d’une « estimation » superficielle, prenant généralement en compte les coûts facilement identifiables : frais juridiques, sanctions réglementaires, manques à gagner liés aux interruptions de service… sans forcément percevoir l’intégralité des dégâts engendrés : augmentation de la prime d’assurance, dépréciation de la valeur de l’entreprise, confiance clients en berne, etc.
Préjugé n°3 : la cybersécurité, les salariés y font déjà attention
Selon un rapport IBM, 60% des attaques viennent de l’intérieur. Par malveillance ou par inadvertance. PEBCAK : « Problem Exist Between the Chair And the Keyboard », il s’agit de se rappeler cet acronyme pour garder à l’esprit qu’une attaque provient souvent d’une défaillance humaine. Employés, consultants ou même stagiaires ont tous un accès administratif, financier, voire social à leur entreprise.
L’idée bien entendu n’est pas de supprimer brutalement leurs accès, mais de mettre en place, pour chacun, un cadre sécurisé pour l’exercice de leur activité respective. Un employé occupant un poste stratégique peut notamment faire l’objet d’une attention particulière. Et s’il est quasi impossible de contrecarrer les velléités d’un individu mal intentionné, il sera possible d’y réduire grandement son pouvoir de nuisance. Dans la même optique, se soucier du bien-être des collaborateurs – y compris en cas de départ – est un élément clé pour réduire la probabilité d’actes de sabotage.
Pour le reste, il est nécessaire de mettre régulièrement en place des actions de prévention et de sensibilisation. Le phishing par exemple, est une des techniques les plus utilisées pour collecter des informations ou pour permettre l’installation de logiciels malveillants sur un poste de travail. En cliquant sur un lien provenant d’un e-mail, le salarié peut installer indûment un malware qui récupérera l’ensemble de ses données ou permettra à l’attaquant d’infiltrer le SI de l’entreprise.
Préjugé n°4 : la cybersécurité, un univers exclusivement masculin
Depuis peu, les entreprises ont commencé à s’ouvrir au monde de la cybersécurité, à en comprendre les enjeux, les risques et même à identifier les bénéfices associés. Toutefois, le domaine souffre d’un manque criant de talents et les sociétés peinent à recruter. En ouvrant plus largement leurs portes aux femmes, elles augmente(raie)nt pourtant mécaniquement leurs chances d’attirer les compétences dont elles ont besoin.
Faire évoluer les mentalités
Dès le plus jeune âge, les stéréotypes nous conditionnent à l’idée que le monde informatique est réservé aux hommes ; les femmes s’excluant volontairement ou involontairement de ces filières. Trop geeks, trop « genrées » ; entretenant une spirale infernale où moins il y a de femmes, moins elles se sentent légitimes… Un des premiers axes du changement est donc de mieux informer sur les métiers et les cursus proposés.
Diversifier & développer
La diversité possède un atout majeur : l’augmentation de la performance. Une équipe comportant des profils divers sera plus apte à innover, à s’adapter et à résoudre un problème qu’une équipe composée principalement de « clones ».
Éduquer & diversifier
Pour inverser la tendance, il convient donc d’activer des leviers tels que l’éducation. L’école est le premier lieu par lequel ce changement (dev)v(r)a s’opérer. Une école qui met l’accent sur les softs skills, qui permet aux étudiants de réussir quel que soit leur niveau de départ, qui propose des programmes sur-mesure, adaptés au profil des uns et des autres et qui ne cesse, en même temps, de les valoriser.
De leur côté, les entreprises ont également leur part à jouer, en mettant en place des campagnes de sensibilisation et en faisant très largement évoluer leurs processus d’embauche.