La cybersécurité, un enjeu trop souvent négligé par les entreprises

Les dernières années ont vu un essor sans précédent de l’informatique et des technologies de l’information, qui sont désormais incontournables dans nos sociétés comme dans le monde de l’entreprise. Mais si le développement de ces technologies a permis une croissance importante des échanges et de l’économie en général, il a également provoqué l’apparition de nouveaux périls, auxquels tous, et les entreprises au premier chef, se doivent aujourd’hui d’être attentifs.

Le risque cyber : une menace globale à laquelle toutes les entreprises sont exposées

Le déploiement massif de l’outil informatique, dans les entreprises comme dans la société en général ; ainsi que l’usage toujours plus important (voire systématique) d’Internet a provoqué l’apparition de nouvelles menaces, résumées sous le nom de risque cyber. L’actualité au cours des derniers mois a été extrêmement riche d’exemples de cyberattaques, qui ont pu concerner des PME et des grands groupes comme des institutions telles que des hôpitaux, ou encore des collectivités territoriales (Conseil Régional de Guadeloupe ou hôpital de Corbeil Essonne par exemple). Cependant, il serait extrêmement réducteur d’imaginer que ces attaques, qui ont parfois des motivations d’ordre politique (et la Russie s’illustre particulièrement dans l’utilisation des cyberattaques dans la conduite d’une guerre « hybride » menée contre ce qu’elle perçoit comme ennemi ou rival), ne touchent que des acteurs d’importance.

Le risque cyber est en effet aujourd’hui devenu aussi global que polymorphe. Au cours des derniers mois, on a ainsi vu apparaître sur de nombreux numéros de mobile des textos incitant à régler une amende. Ces messages frauduleux se retrouvent également sur de nombreuses boîtes mails et, s’ils sont souvent ignorés (bien que les pirates aient fait d’importants progrès dans la mise en forme de leurs messages), il n’en reste pas moins que la probabilité que, parmi les milliers de destinataires de ces messages, un certain nombre les ouvre, et provoque ainsi une faille dans laquelle les hackers pourront s’engouffrer. Cet exemple d’attaque sous forme de phishing (envoi de mail ou de SMS frauduleux contentant un lien infecté) concerne les particuliers, mais les entreprises sont exposées à la même menace, ainsi qu’à de nombreuses autres.

En effet, quelles sont réellement les menaces cybers pour les entreprises, que recherchent les criminels en les ciblant ? Dans certains cas, notamment pour des grands groupes évoluant dans des secteurs d’activités stratégiques (mais pas seulement), il pourra s’agir d’informations techniques, comme des brevets ou des méthodes de fabrication, ou toute autre donnée qui sera estimée comme ayant un intérêt dans le cadre d’une guerre économique dans laquelle une entreprise rivale souhaiterait acquérir un avantage concurrentiel ou rattraper un retard technologique par exemple. Dans de nombreux autres cas, la finalité de l’attaque sera bien plus prosaïque : l’argent, le plus souvent sous forme de rançon en échange de la restitution de données. Et pour cette dernière menace, les PME sont hélas les premières exposées.

Les PME, une cible privilégiée pour les cybercriminels

L’imagerie d’Epinal voit souvent les hackers comme des criminels (ou parfois, des Robins des Bois modernes ─ à tort) ciblant prioritairement les grandes entreprises ou les institutions étatiques. Si cela est peut-être vrai pour les attaques ayant des motivations politiques ou stratégiques (dans le cadre d’une guerre économique notamment) ; il n’en reste pas moins que l’immense majorité des cybercriminels est avant tout motivée par l’appât et résolument opportuniste. Les grands groupes ont en effet pris conscience depuis maintenant plusieurs années du risque cyber et, même si des failles persisteront toujours, mettent en place des réponses et des défenses face à ce péril. Les PME, pour lesquelles cette menace cyber n’est pas identifiée comme prioritaire, peinent encore à déployer des solutions, et sont de ce fait devenues les nouvelles cibles privilégiées des groupes cybercriminels.

Depuis 2022, les principaux assureurs professionnels placent le risque cyber parmi les principales menaces auxquelles sont exposés leurs clients. Les chiffres sont à cet égard éloquent : le nombre de cyberattaques a été multiplié par quatre depuis la période du Covid, et l’on estime que neuf entreprises sur dix ont fait l’objet d’une cyberattaque, dont plus de 50% de PME. De plus, la moitié des TPE/PME font faillite dans les 6 mois après une cyberattaque réussie, ce qui souligne l’ampleur du risque. Or, face à cela, les entreprises apparaissent encore trop souvent comme démunies. Des réponses doivent par conséquent être apportées à cette menace devenue majeure.

Risque cyber : une menace protéiforme

Répondre à une menace implique bien évidemment de la connaître, et puisque le risque cyber provient de la sphère informatique, de nombreuses entreprises considèrent que la réponse doit avant tout être technique, et s’équipent ainsi de nombreuses solutions informatiques ad hoc. Ces mesures sont bien entendu pertinentes, mais elles représentent cependant un coût pouvant être important pour les entreprises, surtout si ces dernières connaissent des difficultés de trésorerie dans un contexte tendu, comme celui qui est le nôtre depuis maintenant plusieurs mois (même si, au regard du péril et des dommages potentiels, il convient sans doute de considérer davantage la cybersécurité comme un investissement, au même titre qu’une assurance). Le risque cyber est également, par essence, extrêmement liquide, changeant, et pouvant prendre des formes très diverses, si bien qu’il reste complexe d’y répondre uniquement par le biais seul de la technologie. En revanche, la mise en place de solutions de confinement, de poursuite et de continuité de l’activité après l’apparition d’une attaque, réussie ou non (car il n’est pas toujours possible de juger du succès d’une attaque au moment où elle se produit) est une solution recommandée pour toutes les entreprises.

L’humain, un facteur clé en matière de cybersécurité

Parmi les nombreuses formes que peuvent prendre les cyberattaques, il convient de noter un chiffre, particulièrement frappant : l’origine du succès d’une attaque est à 90% due à une interaction humaine, qu’il s’agisse du téléchargement d’une pièce jointe infectée, ou d’un clic malheureux sur un lien. Ces erreurs humaines sont le plus souvent dues à de l’inadvertance, et plus encore à une méconnaissance profonde des risques cybers. Le développement de l’IA, et son utilisation par les criminels pour créer des courriers toujours plus réalistes rend ce facteur humain toujours plus crucial. La formation des collaborateurs au risque cyber, ainsi que l’adoption de bonnes pratiques (qui n’ont pas nécessairement à être complexes) s’impose donc comme primordial pour les entreprises dans leur réponse à ce risque majeur.