La numérisation continue de nos sociétés conduit à un constat simple : toutes les entreprises, peu importe leur taille et leur secteur d’activité, sont désormais exposées à des menaces cyber croissantes. La généralisation du télétravail, au-delà de la réponse immédiate à la gestion de la crise COVID, répond à une certaine aspiration sociale et ne fait que renforcer ce risque et l’inscrire dans la durée. Si ces risques sont souvent correctement pris en compte par les plus grandes organisations malgré leur importante surface d’attaque, l’interconnexion des chaînes logistiques et la sous-traitance généralisée entre prestataires plaident pour un renforcement collectif du niveau de cybersécurité, jusqu’aux plus petites entreprises.
Tribune
par Patrick Guyonneau,
Directeur de la Sécurité du groupe Orange
La forte menace sur les entreprises oblige à penser collectivement la protection
La liste des diverses menaces cyber ne peut qu’être anxiogène : ransomware, malware, attaques DDoS, fishing, wiper, fuite de données et extorsion… autant de moyens plus ou moins sophistiqués de nuire, contre lesquels les entreprises doivent se protéger.
Si certaines de ces menaces peuvent paraître très techniques voire abstraites, leurs conséquences sont pourtant très concrètes. Elles conduisent par exemple à l’arrêt d’une chaîne de production d’une usine, à la compromission d’informations sensibles ou encore à des transactions financières frauduleuses sans évoquer ici la paralysie d’hôpitaux.
L’ensemble de ces cyber incidents engendrent des pertes financières qui sont de plus en plus importantes. En moyenne, pour une entreprise le cumul des pertes d’exploitation, des coûts de remédiation, des dédommagements, voire d’atteinte à l’image dépasse 4,01 M$ par crise en France 2020 !
Outre la multiplication des types d’attaques, c’est aussi la surface d’exposition des entreprises à la menace cyber qui augmente avec l’accélération du recours au cloud, la généralisation du télétravail ou encore la dépendance à des systèmes informatiques de sous-traitants parfois peu sécurisés.
Plus que jamais, la cybersécurité est devenue indispensable pour protéger des entreprises de plus en plus exposées et doublement créatrices de valeur, tant par les biens et services qu’elles produisent que par les données qu’elles génèrent et valorisent.
Dans ce contexte exacerbé de risques et d’interdépendance numérique, la cybersécurité doit avant tout être une démarche collective. Comme pour une cordée en haute montagne où celui qui tombe dans une crevasse peut entraîner tout le monde dans sa chute, chaque acteur d’une chaîne de valeur est solidaire y compris dans la gestion de crise de tous les autres. La cybersécurité est un sport avant tout collectif.
Cette nécessité de mieux se protéger n’a pas échappé aux chefs d’entreprises. Selon une étude récente de PWC publiée en janvier 2022, le risque cyber représente la première menace perçue par les chefs d’entreprises dans le monde, devant le risque sanitaire, climatique ou la volatilité économique. Le terrorisme semble relégué à un rang subalterne alors que le risque géostratégique renait à l’Est de l’Europe.
La démarche collective n’exonère pas d’un effort individuel
Se prémunir des menaces cyber est ainsi devenu un véritable facteur de compétitivité, avec des exigences toujours plus fortes des compagnies d’assurance, des actionnaires ou encore des agences de notation financières. A titre illustratif, le risque cyber fait désormais systématiquement partie des critères d’évaluation des entreprises dans la cadre des due diligence en vue d’une acquisition.
Si ces exigences réglementaires ou financières pèsent avant tout sur les grandes entreprises dites de services critiques ou essentiels, des besoins de protection croissants se font désormais sentir pour les PME et TPE, acteurs historiquement plus éloignés des préoccupations cyber mais dont la survie est souvent plus difficile après une cyberattaque.
Selon une étude de l’ONU publiée en 2020, 60% des PMEs déposent le bilan dans les six mois suivants une cyberattaque. Aussi, quelques actions simples comme la sensibilisation et la formation continue de l’ensemble des collaborateurs d’une entreprise aux bons comportements numériques constituent généralement la première défense face aux attaques.
C’est une forme de développement d’un nouvel esprit de défense! A moindre coût, grâce à la vigilance de tous les acteurs économiques, petits ou grands, l’ensemble du monde économique peut gagner en sécurité et limiter collectivement les attaques par latéralisation via les maillons les plus faibles.
En France, faute d’une prise de conscience suffisante, les pouvoirs publics jouent également un rôle normatif et fédérateur pour amener les acteurs privés et publics à mieux se protéger, à travers la prescription de recommandations, le soutien aux entreprises les plus critiques dans la réponse aux incidents de sécurité ou la mise en place d’un plan de relance cyber. Ce n’est qu’avec un tel écosystème coopératif que la menace cyber peut être durablement contrée. Mais il est temps de dépasser la peur du gendarme ou le rôle de l’Etat pompier pour que chaque secteur économique s’organise et assure sa protection.
Bien connaître ses actifs et ses services critiques
Une bonne protection des entreprises au risque cyber ne saurait cependant exister sans l’application première de l’antique principe socratique « gnothi seauton » : connais-toi toi-même !
Alors que les logiques de protection hermétique entre l’interne et l’externe de l’entreprise deviennent obsolètes avec le Cloud et les SI en mode SaaS (Software as a service), il est plus que jamais nécessaire de prioriser les efforts de protection pour investir au bon endroit. Cela commence par une cartographie des actifs à protéger. L'identification des données les plus sensibles pour la survie d’une entreprise, l’établissement d’une liste des services essentiels aux clients et le recensement des interconnexions avec des SI tiers (financier, logistiques, fournisseurs, clients…) sont primordiaux. Se poser la question de la place de l’entreprise dans la chaîne de valeur de son écosystème et connaître ses concurrents sont, en ce sens, des critères majeurs de prise de décision pour définir le bon niveau de protection. Autant d’informations permettant d’adapter et d’orienter les cyberdéfenses d’une entreprise.
Il est évident qu’un concurrent du Mittelstand allemand n’aura pas le même comportement agressif qu’une entreprise d’Extrême-Orient. Aussi, si la croissance d’une entreprise est fortement liée à l’activité d’innovation technologique ou à des contrats stratégiques avec son gouvernement, les risques d’attaques sophistiquées et discrètes d’origine étatique (APT : advanced persistent threat) sont plus importants que le risque d’attaques opportunistes et brutales de cybercriminels.
L’analyse croisée de l’évaluation des risques et des services et données à sécuriser définira les niveaux de protection à appliquer et portera aussi bien sur la localisation, le chiffrement et la redondance des données, que sur la gestion des identités et des accès à privilège, ou encore le niveau de supervision des systèmes voire la gestion des mises à jour des versions logicielles pour corriger les vulnérabilités. Accessoirement, toutes ces tâches de protection ne relèvent pas nécessairement des entités de sécurité, elles nécessitent cependant une coordination serrée pour être efficaces et permettre de réagir rapidement en cas d'attaque.
Mieux coordonner et être ouvert sur son écosystème
S’il est malheureusement impossible de parer toutes les menaces, le rapprochement des capacités de détection et de réponse à la menace – que ce soit par la technique avec des solutions types Endpoint Detection and Response (EDR) de plus en plus sophistiquées et automatisées grâce à l’IA ou par une coordination humaine efficace – permet déjà souvent de ralentir les attaques opportunistes et d’en limiter ainsi les conséquences. La gestion de crise, et encore plus la crise cyber avec les dégâts qu’occasionnent les cryptolockers, est une course contre la montre. S’agissant de coordination d’acteurs humains, l’efficacité passe souvent par l'entraînement et la simulation régulière de crise.
Mais il ne suffit pas de se tourner uniquement sur son entreprise, il faut être ouvert sur l'extérieur pour anticiper et voir venir la menace. C’est pourquoi la gestion de la sécurité des fournisseurs est cruciale. Elle peut être passive avec l’application d’exigences contractuelles pour s’assurer de la maturité des partenaires commerciaux, ce que permet également le rating par des institutions extérieures.
Elle peut être active avec une supervision des liens informatiques reliant les SI de la chaîne de valeur. Elle peut prendre des formes plus sectorielles ou solidaires avec un partage de renseignement cyber ou la gestion commune des crises et des remédiations au sein d’une filière. En ce sens, les donneurs d’ordre ont un rôle à jouer, de prescripteur mais aussi de moteur de la sécurisation des verticales métier.
Mieux protéger les entreprises face au risque cyber demande donc avant tout une prise de conscience de la menace, une connaissance des forces et faiblesses de l’organisation à protéger et un bon niveau de préparation. Alors que le retour sur investissement des dépenses de cybersécurité n’est souvent pas visible de façon immédiate, il convient de garder à l’esprit que le coût de la non-sécurité peut être fatidique. Comme l’écrivait déjà le stratège chinois Sun Tzu dans L’Art de la guerre au Vème av. J.C : « Celui qui excelle à résoudre les difficultés les résout avant qu’elles ne surgissent. Celui qui excelle à vaincre ses ennemis triomphe avant que les menaces de ceux-ci ne se concrétisent. »