En 2020, la crise sanitaire a eu pour effet d’accélérer les cyberattaques, on a même parlé de « tsunami cybernétique » qui a perduré en 2021. Et, qu’en sera-t-il pour 2022 ? Les différents experts s’accordent pour prévoir une année qui n’échappera pas aux cybercriminels.
Bien que certains dirigeants de PME ne semblent pas avoir pris réellement conscience du problème (à peine 1 dirigeant sur 3 a sensibilisé ses salariés aux cyberattaques*), la probabilité que leur entreprise subisse une attaque informatique en 2022 est de plus en plus forte. Des attaques qui pourraient être plus complexes que celles enregistrées ces dernières années. Il est temps que les entreprises prennent à bras-le-corps cette problématique, et ce, quelle que soit leur taille.
Dans ce nouvel article, nous souhaitons mettre en perspectives la nécessité pour les directions générales, d’investir significativement en matière de cybersécurité afin d’atténuer les conséquences que pourraient avoir une attaque sur la survie de leur business.
Parce que cela n’arrive pas qu’aux autres !
Pas un seul jour ne passe sans qu’une entreprise ne fasse appel à un prestataire informatique pour l’aider à faire face à un incident de sécurité grave. La question n’est plus de savoir « si votre entreprise va être victime d’un piratage informatique, mais quand cela se produira ? ». D’aucuns affirmeront que les postes de travail sont équipés d’anti-virus ou que leur service informatique ont fait installer des pare-feux… et que c’est largement suffisant pour contenir la menace… et que cela coûte cher… et que d’autres investissements sont plus prioritaires, etc. Cependant, il faut bien avoir à l’esprit que l’attaque n’est que l’arbre qui cache la forêt ; ce sont ses répercussions qui peuvent s’avérer être gravissimes pour l’entreprise. Une bonne préparation est aujourd’hui indispensable. Même si financièrement la cybersécurité a un coût, celui-ci sera bien inférieur aux pertes provoquées par une cyberattaque.
0,5% du CA des entreprises devrait être investi en cybersécurité
Une étude1 publiée par un éditeur de solution de cybersécurité indiquait que pour 6 entreprises sur 10, le budget à la cybersécurité ne dépasse guère 1 000€ par an, soit à peine de quoi protéger 10 salariés d’une TPE ! On est bien loin des 0,5% du CA recommandé pour une bonne politique de cyberdéfense, qui ne comprend pas uniquement les équipements, mais également l’intégration de la sécurité au sein des projets de l’entreprise (migration vers le Cloud, utilisation d’applications métiers, télétravail…). Il s’agit de réduire au maximum les points d’accès vulnérables au centre névralgique de l’entreprise : son système d’information.
Ne pas négliger les risques pour l’entreprise
Par ailleurs, une entreprise qui n’aurait pas suffisamment considéré les risques cyber s’expose à des préjudices pouvant mettre en péril sa survie :
- Responsabilité personnelle civile et/ou pénale du dirigeant pour négligence et insuffisance de préparation de son entreprise, manquement à l’obligation d’assurer la sécurité des données
- Augmentation des primes assurances
- Arrêt total ou partiel des activités de l’entreprise pouvant entraîner un dépôt de bilan dans les mois suivants
- Atteinte à sa réputation sur son marché
- Litiges avec les actionnaires
- …
La liste est longue !
On l’aura compris, difficile aujourd’hui de laisser le hasard (voire la chance) décider l’avenir de son entreprise, ce serait comme jouer à la roulette russe. La mise en place d’une stratégie cybersécurité est incontournable et peut être un formidable levier stratégique, à condition qu’elle soit alignée sur la stratégie de l’entreprise et les besoins métiers.
Comment élaborer sa stratégie cybersécurité ?
Bien entendu, cette stratégie diffère en fonction du profil de l’entreprise et de son type de gouvernance, mais certains prérequis sont immuables, que l’on soit 150 salariés ou 1 500.
- État des lieux de l’existant (postes de travail, solutions utilisées, applications validées par l’IT et celles dites du shadow IT…)
- Cartographie et analyse des risques propres à l’entreprise et à son activité afin d’identifier les processus critiques et leurs interdépendances, identifier où est la valeur de l’entreprise et ce qui est indispensable à sa survie
- Rappel des réglementations auxquelles l’entreprise est tenue
- Identification des données sensibles de l’entreprise
Cette première étape permet de déterminer la posture de l’entreprise à un instant T et de pouvoir établir les premiers axes stratégiques à instaurer. Celle-ci devra être, bien entendu, en adéquation avec celle de l’entreprise. Il est vivement recommandé de se faire aider par un prestataire expert en cybersécurité, qui apportera, outre son expertise, une vision externe, donc objective de la situation. Il saura orienter la direction générale sur les bonnes décisions à prendre.
