Cybersécurité : Une nécessité virale
Les confinements successifs, le développement et la démocratisation du télétravail pour les collaborateurs avec (trop) souvent de simples connexions wifi grand public, met à mal la protection des données des entreprises. Le cyberrisque n’en est qu’augmenté surtout en cette période d’incertitudes et de fragilité économique. Ces ingrédients font le jeu des cybercriminels beaucoup plus enclins à s’en prendre à des TPE et PME qu’à des grands groupes déjà hyper sécurisés pour la plupart. En matière de cybersécurité, le temps de la prise de conscience est révolu, le passage à la vitesse supérieure apparaît tout simplement vital.
«La cybersécurité, c’est pour les grandes entreprises, ce sont elles qui intéressent les hackers et les pirates informatiques, moi avec ma TPE je ne suis pas concerné.» Cette phrase, bon nombre de professionnels de la sécurité informatique l’entendent de la part des pilotes de petites structures. Mauvaise pioche ! L’an passé plus de 60 % des entreprises françaises affirment avoir été victimes d’une cyberattaque (source : Rapport cybersécurité de l’assureur pour les professionnels Hiscox) et plus de la moitié sont des PME. «Ce sont elles qui sont les plus vulnérables beaucoup plus que les grandes entreprises qui ont souvent un budget dédié à leur sécurité informatique. Les pirates préfèrent prendre dix fois 10 000 euros à des petites structures que de s’attaquer à des grands groupes», explique un professionnel lorrain du secteur. Avec la crise sanitaire actuelle et le développement du télétravail, le cyberrisque n’en est qu’accentué. «Les salariés, dont bon nombre sont en télétravail, utilisent leur équipement professionnel depuis chez eux et mélangent des usages professionnels et personnels et accèdent à Internet par des réseaux wifi (via leur box personnelle) peu ou pas sécurisés. C’est une manne aujourd’hui pour les cybercriminels», continue l’expert. Les différents acteurs du secteur développent des services de cloud de proximité histoire de répondre à cette nécessaire aujourd’hui sécurisation optimale des données des entreprises.
Cloud de proximité
«La demande est aujourd’hui croissante. La mise en place rapide du télétravail pendant le premier confinement a fait prendre conscience qu’il était devenu indispensable de réellement sécuriser les données de l’entreprise», assure le directeur marketing d’un opérateur de services hébergés basé dans l’agglomération nancéienne. «Le deuxième confinement a accentué la prise de conscience. Il faut aujourd’hui que les entreprises comprennent qu’il est nécessaire, et vital pour elles, de mettre en œuvre des outils optimaux pour le travail à distance mais également augmenter la bande passante. Nous devons avoir de plus en plus de conseillers, notamment, pour permettre de sensibiliser les collaborateurs à la nécessité de la cybersécurité.» Dans cette guerre version intelligence artificielle, les collaborateurs s’affichent comme le premier rempart pour éviter les attaques et surtout leur réussite, «s’ils sont bien formés.» Des démarches simples peuvent déjouer les plans d’une cyberattaque. D’après une récente enquête réalisée par MasterCard : 94 % des malwares (logiciels malveillants) impactant les entreprises proviennent des e-mails, «former les employés à reconnaître et à rejeter les e-mails issus d’un nom de domaine inconnu est capital pour éviter les pièges.»
Gestes numériques de bon sens
Pour 60 % des attaques exploitant des failles logicielles, une mise à jour était disponible, «il est donc primordial de maintenir à jour l’ensemble des logiciels utilisés par l’entreprise. Les logiciels non mis à jour sont une autre cause de vulnérabilité aux cyberattaques. Les éditeurs de logiciels corrigent régulièrement les failles de sécurité identifiées en publiant des mises à jour qui malheureusement ne sont pas systématiquement déployées par les entreprises.» Reste que ces gestes numériques, presque de bon sens, ne suffisent plus actuellement pour contrer une attaque. «Le niveau de risque aujourd’hui est beaucoup plus important. Le niveau de professionnalisation des hackers augmente surtout pendant cette période. Ils savent pertinemment qu’avec le confinement, les systèmes informatiques et d’information des TPE et PME sont plus vulnérables.» Le temps de la prise de conscience apparaît donc révolu, même si bon nombre de PME et TPE semblent encore à convaincre (voir encadré). À noter que le vol des données personnelles détenues par une entreprise est passible d’une amende maximale de 4 % de son CA dans le cadre du fameux RGPD (Règlement général sur la protection des données), en vigueur depuis trois ans. «L’entreprise peut se voir infliger cette amende si elle est jugée irresponsable en matière de sécurité à la suite d’une fuite de ses données», explique un juriste. Reste que dans la pratique, d’après différentes études basées notamment sur les chiffres de la Cnil (Commission nationale de l’informatique et des libertés) seulement un tiers des entreprises et organisations sont totalement conformes à cette réglementation (voir encadré). Alors, la cybersécurité, vous vous y mettez quand ?
Des investissements en hausse ?
La prise de conscience de mettre en place une politique de cybersécurité est-elle vraiment présente ? À la lecture d’une récente enquête de l’éditeur Kaspersky, on pourrait le penser. 71 % des cinq mille professionnels interrogés sur leurs prévisions d’investissement en matière de dépenses informatiques (IT), «s’attendent à une augmentation continue de celles-ci au cours des trois prochaines années, prévoyant des hausses moyennes de 11 à 12 %. Les investissements consacrés à la cybersécurité ont d’ailleurs légèrement augmenté (de l’ordre de 1 %) pour atteindre les 22 %», peut-on lire dans cette enquête. Ce relatif renforcement de la cybersécurité s’explique par le fait que les entreprises doivent face, notamment, à de nouvelles menaces spécifiques à l’image du Phishing (hameçonnage, technique permettant d’obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité), «qui touche près d’une organisation sur deux mais également les attaques sur les succursales qui concernent 38 % des grandes entreprises et 40 % des PME.» Si les PME apparaissent aujourd’hui plus sensibilisées à la cybersécurité, une sur dix «prévoit de réduire leurs dépenses de cybersécurité dans les trois ans à venir», du fait de l’impact direct de la crise. À noter, ce qui est assez surprenant c’est, «qu’un quart des PME justifient ce choix par l’absence d’incident de sécurité au cours des douze derniers mois.»
RGPD : du chemin reste à faire
RGPD pour Règlement général sur la protection des données ! Entrée en vigueur il y a maintenant deux ans, cette obligation pour toutes les entreprises (quels que soient leur taille et leurs secteurs d’activité) vise à protéger le traitement et la circulation des données à caractère personnel. Il apparaît qu’elle se soit d’être une réalité dans la pratique à en croire les chiffres du ministère du Travail au sujet des DPO (Délégué à la protection des données) ou data protection officer (qui n’est pas obligatoire dans toutes les entreprises mais qui apparaît fortement conseillé). La Cnil (Commission nationale de l’informatique et des libertés) recense cette année 21 000 DPO (contre 11 000 en 2019). Une avancée notable mais du chemin reste à faire. D’après le ministère du Travail, 31 % des DPO exercent dans des structures de plus de 1 000 salariés et à peine 10 % opèrent dans des structures de moins de dix salariés. Le RGPD est souvent vu comme un contrainte, on peut facilement le comprendre vu la complexité, notamment pour une petite structure d’appréhender le dispositif.