Le nombre de cyberattaques explose. Elles touchent toutes les organisations, quel que soit leur secteur et leur taille. Le chef d’entreprise doit prendre ce risque à bras le corps, sous peine de voir l’activité de sa société fortement impactée. Pas de panique : voici quelques rappels importants à avoir en tête.
Une vraie déferlante… En 2020, les entreprises françaises ont été soumises à une explosion des cyberattaques. C’est ce que rappelle l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) dans son rapport d’activité[1] pour 2020. Certes, l’année passée a été une année particulière, crise sanitaire oblige. Les modes de travail ont été bouleversés, le télétravail a été fortement utilisé pendant les périodes de confinement, augmentant la surface d’attaque pour les cybercriminels. Mais l’ANSSI précise que l’année 2020 n’a pas été une rupture par rapport aux tendances observées en 2019… Plutôt une confirmation de leur existence.
L’année dernière a été marquée par une très forte hausse des attaques par rançongiciels : ces logiciels malveillants qui chiffrent les données d’un ordinateur et demandent une rançon en échange du mot de passe de déchiffrement. Le nombre de leurs signalements a été multiplié par quatre par rapport à 2019. L’ANSSI souligne aussi que les menaces dites « stratégiques » comme l’espionnage et les attaques par chaîne d’approvisionnement (envoi de logiciels malveillants à des entreprises partenaires, fraudes à la facturation…) constituent également les phénomènes les plus observés durant l’année écoulée. La cybercriminalité est devenue une affaire très, très sérieuse…
Dans ce contexte, les dirigeants d’entreprise – quel que soit leur secteur d’activité et la taille de leur structure – ne peuvent plus ignorer les questions de cybersécurité. La posture de l’indifférence ne fonctionne plus, les attaques concernent tout le monde… Toutes les organisations, de la PME au grand groupe, sont des cibles potentielles. Bien évidemment, les moyens d’une multinationale et d’une petite entreprise ne sont pas les mêmes. Mais une prise de conscience de la généralisation de la menace « cyber » doit avoir lieu.
Quels moyens d’action ?
Pour cela, les dirigeants disposent de multiples moyens. Au premier rang : la formation ! Rien de plus utile en effet que de bien connaître le danger pour s’en prémunir. De nombreuses formations courtes existent, comme celles de Secure Sphere[2], de KS formation[3] ou de la plupart des chambres de commerce françaises. S’ils éprouvent le besoin de creuser le sujet, les chefs d’entreprise peuvent participer à des formations plus longues (le MOOC de l’ANSSI[4] est à ce titre recommandé).
Une fois formé, une des premières décisions que le dirigeant doit prendre est de sensibiliser l’ensemble de ses salariés à ces enjeux. Les occasions de le faire sont multiples, sans nécessiter un budget faramineux : « jour » ou « semaine de la cybersécurité », ateliers de démonstration, exercices de formation « en conditions réelles », informations publiées sur l’Intranet ou le réseau social interne, témoignages de salariés exemplaires ou qui ont été piégés (hé oui, cela arrive)… Ce ne sont pas les modalités de sensibilisation qui manquent.
Pour lancer cette dynamique de « culture de la cybersécurité », les chefs d’entreprise doivent s’entourer. L’idéal est de recruter un RSSI (Responsable de la Sécurité des Systèmes d’Information). Son rôle : veiller à l’application de toutes les consignes et procédures relatives à la sécurité informatique. À défaut de RSSI (pour des raisons budgétaires notamment), le DSI doit recruter au sein de sa direction une ou plusieurs personnes spécifiquement sensibilisées aux cybermenaces.
La clé : un reporting régulier !
Quelle que soit l’organisation choisie, le dirigeant doit demander à ses équipes de lui fournir un reporting régulier relatif à la cybersécurité. Son objectif ? Obtenir des réponses claires et précises aux questions suivantes : à quels types d’attaques avons-nous été soumis récemment ? Nos solutions sont-elles à jour et nous permettent-elles de nous protéger efficacement ? De quel dispositif de veille disposons-nous pour nous tenir informés des dernières menaces ? À quelle fréquence menons-nous des tests d’intrusion ?
En cas de doute, le dirigeant ne doit pas hésiter à faire appel à des compétences externes. Elles viendront épauler ses équipes et mettre l’accent sur les points faibles du dispositif mis en place. Rappelons-le : le chef d’entreprise est le garant du patrimoine informationnel de son organisation. Même si les dépenses lui paraissent parfois élevées, il doit investir dans des compétences et des technologies. Car les conséquences financières d’une cyberattaque sont la plupart du temps bien plus élevées que les investissements consentis pour s’en protéger !
[1] https://www.ssi.gouv.fr/publication/rapport-dactivite-2020/
[2] https://www.securesphere.fr/formation-cybersecurite-dirigeants.php
[3] https://www.ks-formation.com/calendrier/sensibilisation-cybersecurite-pour-les-dirigeants/
[4] https://www.secnumacademie.gouv.fr/