Cybersécurité: enjeu incontournable pour les entreprises en 2022
Gregory Tesnier
Publié vendredi 21 janvier 2022
Lien copié
#Cybersécurité La liste des sociétés suisses victimes de cyberattaques s’allonge au fil des semaines et des mois. Un guide vient de sortir: il décrit les enjeux actuels et apporte des solutions pratiques.
Voici un indice révélateur. L’information vient d’être publiée par PwC Switzerland (audit, expertise comptable et conseil). Elle montre la place prise par le risque de cyberattaques dans la vie des entreprises suisses: la vingt-cinquième étude Annual Global CEO Survey de PwC souligne que les cyberrisques constituent désormais la principale préoccupation des CEO suisses. Vraiment? «D’une part, les cyberattaques sont omniprésentes dans les médias. De l’autre, la conscience des cyberattaques et de leurs conséquences s’est récemment accrue. Beaucoup de dirigeants connaissent des victimes dans leur réseau professionnel. Ils sont 82% à estimer qu’une cyberattaque pourrait empêcher la vente de produits ou de services.» Les dirigeants et dirigeantes d’entreprise ont aussi conscience que les cybercriminels, «très professionnels, visent les processus informatisés et essentiels tels que les ventes, le marketing, la distribution ou les relations publiques, par exemple en exerçant un chantage (ransomware)».
Il faut aussi noter, selon l’étude, que domine chez la plupart des dirigeants «une certaine perplexité» quant à la façon de faire face aux attaques informatiques et «quant à la nature des investissements à faire pour agir le plus rapidement et le plus efficacement possible». Dans cette perspective, un guide publié récemment peut servir de ligne directrice. L’essentiel de la sécurité numérique pour les dirigeants et les dirigeantes, ouvrage dirigé par Daniel Benabou avec la contribution de plusieurs spécialistes réunis à l’initiative du Conseil de l’économie et de l’information du digital, aide à comprendre le phénomène des cyberattaques et fournit des conseils pratiques intéressants, voire primordiaux. Le livre prévient d’ailleurs: «Liée à l’évolution du numérique, la cybersécurité n’est plus technique, elle est stratégique. Elle est un sujet de haut management».
Une véritable industrie du crime
Il faut savoir qu’être la proie de criminels en ligne est traumatisant pour les chefs d’entreprise. Ils font face à des organisations mafieuses très bien organisées comme le révèle ce témoignage d’une victime recueilli récemment par un journal économique français: «Les attaquants nous répondaient très poliment, dans un anglais qui n’apparaissait pas comme étant leur langue maternelle. Entre chaque message, il pouvait s’écouler vingt minutes, parfois plusieurs heures, comme si nos interlocuteurs travaillaient dans un service client qui avait du boulot». Le livre dirigé par Daniel Benabou explique plus avant cet aspect du problème: «La cybercriminalité continue de se perfectionner et s’organise désormais comme une véritable industrie avec une grande multiplicité d’acteurs (investisseurs, fournisseurs, prestataires, sous-traitants, etc.).
Par exemple, des organisations commercialisent des modèles d’attaques et font appel à des sous-traitants pour les concevoir. Ils vont jusqu’à vendre les mises à jour de leurs logiciels malveillants! Des exploitants mènent les actions pour leurs propres comptes ou pour distribuer ensuite les données volées à d’autres cybercriminels». Comment réagir face à un tel système? L’essentiel de la sécurité numérique pour les dirigeants et les dirigeantes se concentre sur neuf recommandations prioritaires, sous forme de questions auxquelles les équipes d’une entreprise devraient pouvoir répondre pour réussir à se préserver au maximum face aux risques de cyberattaques.
Pour Renaud Templier, vice-président Trust & Cybersecurity chez Devoteam, «face aux cybermenaces, il n’existe pas de solution universelle. En fonction des risques et du contexte propres à chaque entreprise, la parade passe par une combinaison de mesures techniques, fonctionnelles et organisationnelles, mais aussi par des mesures de conformité aux normes et à la réglementation. Autant de bonnes pratiques qui doivent s’inscrire dans la continuité des usages quotidiens. Et c’est pourquoi la cybersécurité constitue désormais un enjeu culturel».
Se préparer à une cyberattaque: une simulation de 24 heures consécutives change la donne
Il est possible d’enseigner la théorie de la gestion et de la communication de crise. Toutefois, c’est au cœur du danger que tout se joue. La théorie au contact brutal du terrain peut perdre toute sa pertinence et ne pas servir à grand-chose. Pour bien se préparer à une cyberattaque, il faut dès lors s’entraîner dans des conditions aussi proches que possible du réel. C’est en partant de ce constat que la société Crisalead et la Haute école de gestion de Genève ont mis en place une simulation de crise d’une durée de vingt-quatre heures. Un jour entier sans dormir. Un jour entier dans les locaux de l’école pour se mettre à la place des responsables d’une entreprise (une banque dans ce cas précis) qui subit une cyberattaque et d’autres déconvenues. Ainsi, vendredi 14 et samedi 15 janvier, trois équipes de huit participants et participantes venus du monde de l’entreprise et des organisations publiques ont affronté les aléas d’un scénario économique et informatique qui les a volontairement bousculés. Le jeu de rôle était là pour former.
Cohésion d’équipe, méthodes et outils pour garder son sang-froid, négociation et méthodologie: les compétences travaillées ont été nombreuses. Quand la fatigue, au cœur de la nuit, s’est fait sentir et qu’il a fallu être prêts et réactifs dans une conférence de presse avec des journalistes peu amènes, quand il a fallu gérer des clients qui paniquent, une demande de rançon, des données volées, un enlèvement... les participants et les participantes ont su puiser dans leurs réserves, rester lucides et définir une ligne de conduite. Chaque étape de leurs comportements et de leurs décisions, tout au long des vingt-quatre heures, a fait l’objet d’une évaluation de la part des experts présents. Un de ces derniers précise qu’il s’agit finalement de «vivre les difficultés, le stress et les contraintes qu’une crise d’origine informatique impose aux professionnels chargés de la gérer. Ce scénario pédagogique constitue un moyen sans égal de se préparer face aux risques de plus en plus grands de cyberattaques que les organisations connaissent ces dernières années».
En autorisant les services tiers, vous acceptez le dépôt et la lecture de cookies et l'utilisation de technologies de suivi nécessaires à leur bon fonctionnement. Voir notre politique de confidentialité.