Accueil La cybersécurité est l’affaire de tous… mais surtout du chef d’entreprise !

La cybersécurité est l’affaire de tous… mais surtout du chef d’entreprise !

Protéger son entreprise est l’une des nombreuses missions du chef d’entreprise. Mais le volet cyber est pourtant trop souvent ignoré dans les plus petites structures. Par manque de… beaucoup de choses, tant les justifications sont nombreuses ! Heureusement, il n’est pas trop tard pour y remédier !

 

« Ça doit venir d’en haut ! ». Combien de fois avons-nous entendu cette affirmation, au sujet de toute initiative sécuritaire, et en particulier en matière de cybersécurité. Et pourtant, « d’en haut », autrement dit, de la direction, cela ne vient pas toujours.

L’absence de prise en compte de la cybersécurité par les dirigeants semble toucher plus fréquemment les petites entreprises. Pourtant, celles-ci sont tout autant ciblées que les grandes, et en particulier en matière de spam, qui est pourtant le principal vecteur des menaces au quotidien (dont les rançongiciels). Et cela est d’autant plus dangereux pour elles que, contrairement aux grands groupes, une PME aura plus rarement la trésorerie nécessaire pour se remettre d’une attaque sérieuse (perte de trésorerie ou arrêt de production). Ainsi selon une étude menée par Orange et le magazine

« L’Usine nouvelle » en 2017, près d’un tiers des PME attaquées ont fait état d’une perte financière, contre seulement 7,2 % des grandes entreprises.

Les petites structures sont ainsi donc tout autant attaquées que les grandes, disposent de moins de ressources pour se protéger et sont beaucoup plus fragiles une fois touchées. On imaginerait que cette position particulièrement vulnérable pousserait les chefs de petites entreprises à prendre le problème à bras le corps. Or, il n’en est rien.

Le rapport du Clusif « Menaces informatiques et pratiques de sécurité́ en France (édition 2018) » indique que c’est essentiellement le manque de budget (en tant que tel ou comme frein au recrutement de personnel qualifié) et les questions organisationnelles qui freinent les initiatives sécuritaires dans les petites entreprises. Le désintérêt pur et simple de la Direction générale n’est réellement un frein que dans 9 % des cas.

Des conséquences financières lourdes

Pourtant, chez les petites structures plus qu’ailleurs, entre la perte de trésorerie due à une fraude au président (de quelques dizaines à quelques centaines de milliers d’euros qui disparaissent du compte courant) et les lourdes pertes financières provoquées par un arrêt de production à la suite d’un « bête » ransomware reçu par email (nous avons traité des cas à plusieurs millions d’euros), l’impact financier d’une attaque peut mettre fin à l’activité

La fraude au fournisseur sur le podium en 2019

Mais comme si cela ne suffisait pas, une nouvelle menace se glisse sur le podium en 2019 à côté des ransomwares. Selon l’étude Euler Hermes 2019, la fraude au faux fournisseur a pris de l’ampleur durant l’année 2018, et désormais les cyberattaques ne sont plus seulement utilisées pour infecter le système d’information, mais de plus en plus pour mieux « connaître » l’entreprise au quotidien afin d’usurper ses processus et son identité.

« Le cyber devient un outil au service de la fraude plus qu’une technique directe de détournement », explique Sébastien Hager, responsable souscription assurance fraude chez Euler Hermes France.

Dans l’étude Euler Hermes 2019, les différentes fraudes et usurpations tiennent désormais le haut du panier des menaces : la fraude au faux fournisseur est mentionnée par 47 % des répondants, suivie par les autres usurpations d’identité (banques, avocats, commissaires aux comptes), citées par 30 % des répondants, la fraude au faux président (29 %), et la fraude au faux client (25 %)

Et pour améliorer le rendement de ces fraudes, les attaquants ciblent désormais le système d’information des entreprises.

Quand aux victimes des cryptogiciels, si elles s’en tirent le plus souvent pour quelques milliers d’euros de rançon « seulement », c’est sans compter les pertes d’exploitation, souvent difficiles à supporter pour une petite structure (potentiellement plusieurs jours d’arrêt total).

Des conséquences humaines

Autre bonne raison pour un dirigeant de se préoccuper de la cybersécurité : selon l’article L4121-1 du Code du travail, l’employeur est tenu de prendre « les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs ». Or les autorités auraient recensé en deux ans au moins deux suicides de collaborateurs ayant été dupés par une fraude au faux président et ne pouvant supporter d’avoir joué un rôle, bien qu’involontaire, dans les déboires subis par leur entreprise.

Évidemment, il s’agit ici d’une interprétation très hasardeuse du devoir de sécurité, mais il convient de se poser la question si, à terme, un dirigeant n’ayant pas souhaité investir dans la sécurité ne pourrait être tenu au moins partiellement responsable d’une telle issue.

Par ailleurs, sachant que dans la grande majorité des cas les salariés qui ont involontairement contribué à faire perdre la trésorerie de l’entreprise lors d’une attaque au faux président sont licenciés, le manque d’investissement en matière de cybersécurité pourrait peser dans un débat aux prud’hommes.

Vol de savoir-faire

Puisque désormais tout est numérique, la protection des savoir-faire de l’entreprise passe nécessairement par des outils et des bonnes pratiques numériques. Et c’est bien là toute l’incohérence d’un patron soucieux de protéger son entreprise, mais qui refuserait de s’intéresser à la sécurité numérique : il serait totalement aveugle sur le « contenant » de son capital immatériel, et encore plus sur les moyens utilisés par ses adversaires pour le piller.

Et cela ne relève en aucun cas de la fiction : la lutte économique à l’échelle de la planète ne fait pas de différence entre les cibles, quelle que soit leur taille. De petites PME régionales sont (très) régulièrement prises pour cible parce qu’elles détiennent un savoir-faire jugé crucial pour un concurrent étranger ou qu’elles appartiennent à la chaîne de sous-traitants d’un plus grand groupe national, plus difficile à atteindre directement.

Selon la Direction Générale de la Sécurité Intérieure (DGSI), 1000 cas d’espionnage industriel feraient l’objet d’une procédure judiciaire chaque année. Des chiffres anciens (2015) et probablement déjà largement sous-estimés, tant bon nombre de victimes préfèrent se taire (par peur de l’impact sur leur réputation auprès de leurs clients) ou ignorent tout simplement qu’elles ont fait l’objet d’un pillage (ne pas se protéger, c’est aussi être aveugle sur ce qui se passe sur son système d’information). D’ailleurs, dans un entretien accordé à La Tribune, Bernard Carayon, ancien député et auteur du premier rapport français sur l’Intelligence Économique, indique que ce chiffre devrait être multiplié « par 10 ou 20 » et que les PME représenteraient un tiers des victimes.

Fraudes, arnaques ou cyberattaques ?
Peu importe : tout est risque !

En définitive, il devient difficile de faire la part des choses entre les différentes fraudes, arnaques et autres tentatives d’espionnage industriel, et les attaques purement numériques. Tout simplement parce que le numérique touche désormais l’ensemble des activités de l’entreprise.

L’un des rôles du dirigeant est de piloter son entreprise par les risques. Très souvent, il le fait de manière naturelle pour ce qui est des risques commerciaux, financiers et même juridiques. Il sait s’entourer et écouter son directeur commercial ou financier, son comptable ou son avocat, afin de prendre les décisions qui s’imposent. Le risque numérique ne doit pas faire exception : il est un risque opérationnel comme les autres. Le chef d’entreprise doit être capable de prendre les bonnes décisions en cybersécurité, comme il le fait depuis la nuit des temps dans les autres domaines, sans qu’il ne soit pour autant devenu un expert de la comptabilité, des ventes ou de la finance.

 

 

 

La cybersécurité :
aussi un argument commercial !

Si le ton de cet article vous semble par trop pessimiste, rassurez-vous : il existe une autre bonne raison pour laquelle un chef d’entreprise consciencieux devrait s’intéresser à la cyber sécurité : car c’est un argument commercial ! À commencer parce que des certifications telles ISO27001 ou une démarche volontariste de mise en conformité au règlement européen sur la protection des données personnelles (RGPD) prouvent l’engagement de l’entreprise à respecter de bonnes pratiques de sécurité (et donc à protéger les informations de ses clients, par exemple). Mais aussi, maintenant que l’ANSSI communique autour des Visas de sécurité -sa marque d’excellence pour les solutions et les services de cybersécurité de confiance- parce qu’il est plus que jamais rentable de prendre la peine d’entamer de telles démarches qui pourront à l’avenir faire la différence dans les appels d’offres auxquels il répondra.

 

Le top 3 des excuses
pour ne pas s’occuper de cybersécurité

 

Excuse #1 :

« Nous n’avons pas les moyens »

Réponse : Les conséquences financières sont désormais faciles à chiffrer. Et il n’y a pas que le risque financier : le vol de propriété intellectuelle, d’informations critiques (listes de clients) ou le sabotage industriel peuvent s’avérer plus longs et plus délicats à réparer.

 

Excuse #2 :

« Il n’y a rien à voler chez nous »

Réponse : Les attaquants recherchent aussi des ressources (serveurs, espaces de stockage, minage de crypto monnaie) pour mener ou financer des activités illégales auxquelles vous n’avez probablement aucune envie d’être mêlés.

 

Excuse #3 :

« Je préfère payer lorsque cela arrivera plutôt qu’investir pour rien »

Réponse : Il ne s’agit plus de « si », mais de « quand » cela arrivera. Et puis, qu’il se soit « passé quelque chose » ou non, l’investissement en cybersécurité est désormais considéré par de nombreux clients comme un différenciateur, quand ce n’est pas une exigence.