Cybersécurité – Attention à la dette !

La crise sanitaire du COVID-19 a accéléré de manière exponentielle la transformation numérique, augmentant de la même manière les risques de cyber-attaques qui exploitent la vulnérabilité et les faiblesses de sécurité des systèmes informatiques des entreprises. Une gouvernance accrue en matière de protection cyber s’avère donc indispensable.

 

Le risque cyber coûte 10.500 milliards de dollars et croît de 15% chaque année. Le secteur public et les entreprises restent les cibles prioritaires des cyberdélinquants : en 2019, 90% des sociétés (43% de PME) ont constaté un incident cybercriminel dans leur système IT.

De même, les infrastructures critiques et les services de base essentiels (énergie, défense, industrie, santé, transports, production alimentaire…) ne sont pas épargnés.

Outre l’espionnage, la déstabilisation et le sabotage, les rançongiciels constituent les menaces les plus répandues, suivies des attaques par chaîne d’approvisionnement. Ciblant non plus l’entreprise mais ses fournisseurs via un logiciel malveillant (dans 62% des cas), ces dernières devraient voir leur nombre quadrupler en 2021.

 

Investir dans la cybersécurité

Ces intrusions constituent donc un moyen de pression extrêmement fort de la part de pirates et hackers sur les États, leurs populations et leurs entreprises.

« Elles soulignent la nécessité pour les décideurs politiques et la communauté de la cybersécurité d’agir maintenant, » estime l’Agence européenne pour la cybersécurité (ENISA)

Il est urgent que les dirigeants dotent leurs entreprises d’une politique de cybersécurité efficace, en même temps respectueuse de l’impératif de protection des données.

Il est donc fortement recommandé d’investir dans la prévention et d’actionner les leviers, humains (formation à la cybersécurité), techniques (investissement dans des logiciels, outils de sauvegarde, audits, etc.), organisationnels (mise en place d’une cybergouvernance) et assurantiels.

 

Evaluer sa dette Covid

Avec un retour progressif au bureau, entre présentiel et télétravail, les méthodes de travail doivent être sans cesse adaptées et la prise de conscience des entreprises aux nouveaux risques stimulée.

Après la crise sanitaire, elles devront de même rétablir un dispositif de protection adapté, et évaluer l’étendue de leur dette de cybersécurité/privacy constituée durant la pandémie.

Cette posture cybersécurité passe entre autres par le contrôle des sauvegardes, une revue des fournisseurs IT, telco et cyber, une recherche des traces d’intrusion non détectées dans le SI, ou encore par le hacking éthique, afin de tester la résilience cyber des outils, personnes et processus. https://www.lemondeinformatique.fr/actualites/lire-63-de-hackers-ethiques-en-2020-selon-hackerone-82251.html

 

L’imprévoyance bientôt sanctionnée

La Commission européenne compte elle aussi renforcer la cyber-résilience au sein de l’UE, avec notamment une proposition de révision de la directive sur la sécurité des réseaux et des systèmes d’information (NIS2).
https://digital-strategy.ec.europa.eu/en/library/proposal-directive-measures-high-common-level-cybersecurity-across-union

Présenté en décembre 2020, le texte impose de nouvelles obligations aux fournisseurs de services « essentiels » et « importants » dans des secteurs critiques, comme la signalisation des cyberattaques, la mise en œuvre de politiques de sécurité, l’analyse de la sécurité des fournisseurs et l’utilisation de technologies de chiffrement.

Les directions des entreprises seraient désormais tenues responsables du non-respect de leurs obligations de surveillance et de gestion des risques de sécurité. En marge de la nouvelle législation, l’exécutif européen compte également renforcer les responsabilités des États membres en matière de protection et de résilience des entités critiques.