La cybersécurité : un enjeu stratégique pour les entreprises

En août 2022, l’hôpital de Corbeil-Essonnes a été victime d’une cyberattaque rendant impossible l’accès aux logiciels métiers, aux systèmes de stockage et au système de gestion des admissions. Une attaque majeure ayant entraîné un fort ralentissement de l’activité de l’hôpital, contraint de transférer les patients les plus à risque dans d’autres structures et de fonctionner en mode dégradé pendant plusieurs semaines. Si aucune victime n’est heureusement à déplorer, les conséquences de cette attaque informatique restent toutefois préoccupantes. Il ne s’agit pourtant pas de la première attaque de ce genre – d’autres structures médicales sont régulièrement visées – et certainement pas de la dernière. En effet, depuis plusieurs années, le nombre de cyberattaques connaît une hausse sans précédent.

Les entreprises n’échappent pas à ce phénomène et sont les cibles d’attaques cyber toujours plus nombreuses et virulentes. Elles doivent s’adapter pour prévenir les risques liés à ces menaces, dont les conséquences sont souvent très graves.

Avec l’avènement de la digitalisation, la question de la sécurité dans le Cloud doit être au cœur de la stratégie numérique des entreprises. La sécurité du Cloud couvre un ensemble de techniques et de technologies permettant de répondre aux menaces de sécurité d’une entreprise. Cette dernière doit s’assurer que ses données et services hébergés sur un Cloud seront protégés des menaces mettant en cause sa sécurité. Infrastructures, données, sécurité physique, gestion des identités et des accès, tests de prévention, outils : de nombreux aspects doivent être pris en compte pour garantir la sécurité du Cloud. C’est pourquoi les experts Cellenza vous proposent, tout au long du mois d’octobre, des contenus inédits à l’occasion d’un Mois de la Sécurité dans le Cloud.

Cybersécurité : des chiffres en hausse

En 2021, 54% des entreprises françaises auraient fait l’objet d’une attaque informatique : d’après le Baromètre 2022 de la cybersécurité en entreprise publié par le CESIN, plus de la moitié des entreprises en France auraient subi une à trois attaques cyber ayant entraîné des conséquences sur leur activité. Ce chiffre ne prenant pas en compte les tentatives d’attaques, on peut estimer qu’il est en réalité bien supérieur. Les experts en cybersécurité ironisent d’ailleurs en affirmant avec humour que « 100% des entreprises ont été attaquées : soit elles l’ont réellement été, soit elles ne le savent pas encore ».

La virulence des attaques connaît également une augmentation importante : d’après le CESIN, 60% des entreprises attaquées ont subi un impact direct sur leur business.

L’ANSSI note également une hausse de 255% des attaques par ransomwares (ou rançongiciels, des logiciels malveillants prenant en otage le système ou les données) au cours de l’année 2020. Un phénomène de forte hausse qui devrait se prolonger au cours des prochaines années.

Cyberattaques : quelles conséquences pour les entreprises ?

Des conséquences dramatiques

Pour les entreprises victimes d’attaques cyber, les conséquences sont multiples et souvent catastrophiques :

• Vol ou perte de données ;
• Suspension des accès aux logiciels métier entraînant la diminution, voire l’arrêt de l’activité causé par la paralysie du système ;
• Atteinte à la réputation et l’image de marque ;
• Préjudice commercial (en cas de divulgation de données stratégiques) ;
• Préjudice financier…

On estime qu’une entreprise victime d’une attaque perd 25% de son chiffre d’affaires annuel. Pire, 60% des PME victimes ne survivent pas et déposent le bilan dans les 18 mois suivant l’attaque.

Les effets d’une cyberattaque peuvent également se prolonger dans le temps. C’est le cas, par exemple, lorsque la réputation d’une entreprise a été entachée lors d’une fuite des données de ses utilisateurs. Les clients vont se montrer méfiants et retrouver leur confiance peut prendre des années.

3 défis majeurs à relever

S’il est impossible d’éviter les attaques, il est toutefois indispensable pour les entreprises de les prévenir. Une prévention qui passe par trois axes principaux :

1. Conformité réglementaire: en fonction de leur statut et de leur activité, les entreprises sont soumises à des obligations réglementaires dont les conséquences sont une meilleure sécurisation de leur Système d’Information (SI) et des données. Par exemple, les entreprises qualifiées d’OIV (Opérateurs d’Importance Vitale) doivent respecter les mesures de la Loi de Programmation Militaire. De la même manière, toutes les entreprises françaises doivent respecter le RGPD qui impose des mesures strictes en matière de protection des données personnelles.
2. Protection des données : les données sont considérées comme « l’or du 21^ème siècle ». Et comme tout élément de valeur, elles sont particulièrement recherchées par les cybercriminels. Qu’il s’agisse de données personnelles ou de données d’entreprise, souvent sensibles, elles doivent faire l’objet d’une vigilance accrue, aussi bien lorsqu’elles sont stockées que lors de leurs transferts. Les entreprises se doivent donc de mettre en place les actions et moyens nécessaires à la protection des données.
3. Garantie de la disponibilité du matériel et des applications : troisième enjeu capital en termes de cybersécurité, la protection des logiciels et du matériel doit faire l’objet d’une attention particulière. Face à des attaques de plus en plus élaborées, les entreprises doivent anticiper et mettre en place des outils de protection de leurs infrastructures et logiciels pour en éviter l’indisponibilité partielle ou totale, qui limiterait voire empêcherait l’activité.

Comment se protéger des cyberattaques ?

S’il est impossible d’empêcher les cyberattaques, il est toutefois possible de les faire échouer en mettant en place des mesures suffisamment fortes pour les contrer. Les moyens de lutte contre la cybercriminalité sont nombreux, et il convient de n’en laisser aucun de côté :

• Instaurer une gouvernance de la cybersécurité: le risque cyber compte aujourd’hui parmi les risques majeurs pour une entreprise. Il semble donc logique de mettre en place une gouvernance de la sécurité, dont le rôle est de définir les règles applicables en matière de cybersécurité, les rôles des différentes parties prenantes et les différents contrôles à réaliser. La gouvernance est porteuse de la stratégie autour de la sécurité et décide des actions à mener pour garantir la sécurité du SI de l’entreprise.
• Effectuer un audit des risques: la mise en place d’un audit interne constitue la base d’une stratégie de lutte contre la cybercriminalité. Quels sont les risques encourus ? Quelles sont les mesures de protection existantes ? Quelles sont les recommandations à suivre pour diminuer les risques ? Telles sont les questions auxquelles l’auditeur devra apporter des réponses. Il est évidemment possible de faire réaliser cet audit en interne, notamment dans de petites structures, mais il est recommandé de faire appel à un auditeur externe, plus à même de faire preuve d’objectivité et d’indépendance.
• Mettre en place des solutions IT : avec l’essor du Cloud ces dernières années, il est indispensable d’assurer la sécurité des logiciels et matériels. Des outils et solutions informatiques sont développés pour apporter une solution sécurisée. Leur mise en œuvre nécessite une certaine expertise : comment choisir les solutions ? Comment les déployer ? Comment assurer leur maintien dans le temps ? Il est conseillé de faire appel à des experts en sécurité informatique pour mettre en place ces solutions et de faire monter les équipes internes en compétences pour s’assurer qu’elles sont suffisamment formées pour assurer leur maintien en conditions opérationnelles.
• Sensibiliser les collaborateurs : en matière de cybersécurité, le constat est sans appel : l’humain reste la première faille… D’après le CESIN, pour 73% des entreprises attaquées, le phishing représenterait le moyen d’entrée principal. Les cybercriminels ne s’y trompent pas et ciblent donc massivement les individus pour infiltrer le SI d’une entreprise. Pour lutter contre ce phénomène, une seule solution : la prévention. Quelle que soit la taille ou l’activité d’une entreprise, l’ensemble des collaborateurs doivent être sensibilisés à la cybersécurité et connaître les bonnes pratiques.

Comment sensibiliser les équipes à la cybersécurité ?

Avec la crise sanitaire du Covid, le télétravail a connu un essor sans précédent dont l’une des conséquences a été une recrudescence des attaques visant les individus. On estime que près de la moitié des personnes en télétravail se sont fait piéger par une tentative de phishing. La sensibilisation de l’ensemble des collaborateurs est donc indispensable pour garantir la sécurité d’une entreprise.

Les opérations de sensibilisations doivent être décidées par la DSI afin de s’assurer la protection la plus appropriée aux risques encourus.

Si certaines fonctions sont particulièrement à risque (c’est le cas des fonctions RH, Finances et Communication notamment) en raison des interactions avec l’extérieur liées à leurs missions, il est essentiel de sensibiliser tous les salariés.

Des campagnes multicanales pour faire passer les messages

Des campagnes d’informations aux risques cyber doivent être organisées très régulièrement au sein de l’entreprise, avec des canaux différents, pour s’assurer de leur visibilité par le plus grand nombre. Il existe de nombreux moyens de communiquer en interne autour de la cybersécurité :

• Campagnes d’affichage: dans les entreprises bénéficiant de locaux physiques, la mise en place d’affiches peut être une solution intéressante pour faire passer des messages de prévention. Il est conseillé de positionner des affiches dans les parties communes dans lesquelles les collaborateurs passent régulièrement : hall d’entrée, cafétérias, salles de reprographie…
• Emailing / newsletter interne : pour communiquer en interne, les entreprises disposent de plusieurs moyens qui leur sont propres. Envoyer régulièrement des messages de sensibilisation par email ou dans le cadre des newsletters internes est un moyen de faire passer les messages à tous, notamment lorsque les collaborateurs sont en télétravail. Une nuance toutefois : face au très grand nombre de mails reçus chaque jour, il est fréquent que ces messages d’information soient mis de côté par les destinataires. Leur fréquence doit donc être réfléchie et limitée, et les messages travaillés avec soin.
• Brochure / fiche pratique : dans le cas d’entreprises de grande taille ou avec des règles de sécurité strictes, il est intéressant de remettre à l’ensemble des collaborateurs un document physique synthétique récapitulant les bonnes pratiques. Les fiches pratiques imprimées peuvent être affichées près du poste de travail et être accessibles à tout moment. Cybermalveillance.gouv.fr met notamment à la disposition de tous un kit de sensibilisation aux risques numériques (télécharger gratuitement le kit de sensibilisation aux risques numériques).
• Vidéos : le support vidéo est également très utilisé pour faire passer des messages de sensibilisation. Les vidéos peuvent être adressées aux salariés par email mais également relayés sur l’intranet ou, pour les entreprises qui en ont, diffusées sur les écrans vidéos d’affichage internes. De nombreuses vidéos sont publiées par l’ANSSI mais vous pouvez également faire appel à des agences spécialisées pour réaliser des vidéos sur mesure pour votre entreprise.
• Conférences / webinaires / ateliers: organiser des interventions avec des experts en cybersécurité est un moyen efficace de sensibiliser les équipes. C’est aussi l’occasion pour les salariés de pouvoir poser des questions et obtenir des réponses concrètes. Bien que cette solution demande un certain investissement (mobilisation de tous les collaborateurs, financement d’un intervenant extérieur, mise à disposition d’une salle, etc.), elle permet de s’assurer que les messages seront effectivement passés aux salariés présents.
• Simulation de phishing : pour évaluer le niveau de sensibilisation des collaborateurs, de plus en plus d’entreprises organisent de fausses campagnes de phishing. De faux emails frauduleux sont adressés aux collaborateurs sur des thèmes divers (ex : congés, prime, invitation à une soirée d’équipe, billets du Comité d’Entreprise…) : grâce à une plateforme dédiée, il est ainsi possible d’évaluer combien de personnes ont ouvert le mail, cliqué sur un lien, rempli des données personnelles, téléchargé une pièce jointe… Les résultats de ces tests sont une excellente occasion d’apprécier le niveau de sensibilisation de l’ensemble des équipes et, le cas échéant, de mettre en place de nouvelles actions pour renforcer leur connaissance des bonnes pratiques.

Tout savoir sur la sécurité dans le Cloud

Bien que la sensibilisation des salariés est un élément indispensable de la sécurisation d’une entreprise, elle n’est pas suffisante. La sécurité des solutions informatiques, et notamment du Cloud, ne peut être écartée.

Retrouvez les autres articles de cette série autour de la Sécurité dans le Cloud :

• Les enjeux de la cybersécurité face à l’évolution des systèmes d’information
• Déléguer la gestion des utilisateurs et des équipements dans Azure AD et Intune
• La gestion des identités dans Azure Kubernetes Services (AKS)
• Azure Sphere : la Cybersécurité pour quoi, qui, quand et comment ?
• Pourquoi se former sur la cybersécurité ?
• Concilier Agilité et Sécurité : le manifeste Agile et l’OWASP à notre secours !
• La sécurité dans GitHub

Vous souhaitez être accompagnés dans la sécurisation de votre Cloud ? Découvrez notre offre Cloud Security ou contactez-nous !