Accueil L’affaire du chef d’entreprise !

L’affaire du chef d’entreprise !

La cybersécurité est l’affaire de tous…
mais surtout du chef d’entreprise !

 

Protéger son entreprise est l’une des nombreuses missions du chef d’entreprise. Mais le volet cyber est pourtant trop souvent ignoré dans les plus petites structures. Par manque de… beaucoup de choses, tant les justifications sont nombreuses ! Heureusement, il n’est pas trop tard pour y remédier !

 

« ça doit venir d’en haut ! ». Combien de fois avons-nous entendu cette affirmation, au sujet de toute initiative sécuritaire, et en particulier en matière de cybersécurité. Et pourtant, « d’en haut », autrement dit, de la direction, cela ne vient pas toujours.

L’absence de prise en compte de la cybersécurité par les dirigeants semble toucher plus fréquemment les petites entreprises. Pourtant, celles-ci sont tout autant ciblées que les grandes, et en particulier en matière de spam. Si l’on en croit le rapport 2017 sur la menace Internet publié par l’éditeur Symantec, les PME doivent faire face au même ratio de menaces par email que les plus grandes, tout en ne disposant évidemment pas des mêmes moyens pour se protéger.

Or, le spam est aujourd’hui le premier vecteur des principales menaces susceptibles de coûter cher à l’entreprise, qu’il s’agisse d’attaques purement informatiques telles les cryptogiciels, ou de fraudes telles que les arnaques au président et autres escroqueries aux fournisseurs. Dans tous les cas, cela pourra potentiellement conduire l’entreprise à sa perte. Car, contrairement aux grands groupes, une PME aura plus rarement la trésorerie nécessaire pour se remettre d’une attaque sérieuse, qui aurait par exemple impacté sa capacité de production ou siphonné une partie de sa trésorerie.

Selon une étude menée par Orange et le magazine « L’Usine nouvelle » en 2017 auprès de 374 entreprises françaises dont 60% de moins de 250 salariés, plus de la moitié des petites structures indiquent avoir subi une cyberattaque, alors que les grandes structures ne sont « que » 48,5% a déclarer avoir été frappées. Pire : près d’un tiers des PME attaquées ont fait état d’une perte financière, contre seulement 7,2% des grandes entreprises.

Les petites structures sont ainsi donc tout autant attaquées que les grandes, disposent de moins de ressources pour se protéger et sont beaucoup plus fragiles une fois touchées. On imaginerait que cette position particulièrement vulnérable pousserait les chefs d’entreprise à prendre le problème à bras le corps. Or, il n’en est rien.

Quelles sont alors les raisons qui peuvent pousser les dirigeants des petites entreprises à ne pas s’intéresser à la cybersécurité ? Le rapport du Clusif « Menaces informatiques et pratiques de sécurité en France 2018 » en mentionne quelques unes, pour les entreprises de 100 à 249 salariés :

  • Le manque de budget (36%)
  • Les contraintes organisationnelles (29%)
  • Le manque de personnel qualifié (27%)
  • La réticence des métiers ou des utilisateurs (16%)
  • Le manque de connaissances (14%)
  • Les réticences de la Direction générale (9%)
  • Les réticences de la DSI (2%)

On le voit, le manque de budget (en tant que tel ou comme frein au recrutement de personnel qualifié) et les questions organisationnelles arrivent en tête de liste. Il est intéressant d’observer que la réticence de la Direction générale n’est un frein que dans 9% des cas. Les chefs d’entreprise ne refusent finalement pas tant que ça de s’intéresser à la cybersécurité. Serait-ce alors simplement qu’ils estiment ne pas en avoir les moyens ?

Des conséquences financières lourdes

Pourtant, l’argument financier est le plus simple à traiter, tant les exemples d’attaques ayant provoqué une perte significative sont nombreux. Et, avec la montée en puissance du marché de la cyberassurance, les sources de données de victimisation fiables vont certainement se multiplier… tout comme les attaques !

Pour les petites structures, les pertes financières les plus sévères liées aux incidents de sécurité sont essentiellement dues aux vols (virements frauduleux), aux arrêts de production ou aux rançons logicielles. Cela n’a donc pas toujours à voir directement avec le système d’information, mais dans une majorité des cas la source de l’incident est un email frauduleux ou infecté, qui permet à l’attaquant de prendre le contrôle du poste de travail d’un collaborateur. Et à partir de là de compromettre l’ensemble du réseau, de manière visible (demande de rançon) ou plus pernicieuse (fraudes diverses).

Selon l’étude Euler Hermes DFCG 2018, une entreprise sur 3 a subi une fraude avérée en 2017, et pour 10% d’entre elles, le préjudice moyen était supérieur à 100 000 €. Le risque est d’ailleurs, toujours selon l’étude, essentiellement financier (85%, mais pas nécessairement directement lié à l’informatique, qui n’est qu’un support), suivi du risque sur les données (45%) et de l’interruption de l’activité (30%).

Quelques exemples

Si les statistiques sont éclairantes, les faits sont plus parlants. Et par chance (pour le commentateur, mais pas les victimes !), l’on n’en manque pas.

Sans avoir besoin de remonter très loin, en février 2018 une société de la région lyonnaise perdait ainsi 400 000 euros à la suite d’une « fraude au président » (dans sa variante de la fausse OPA), menée via une adresse email usurpée. L’entreprise a frôlé le dépôt de bilan et ne doit sa survie – dans des conditions probablement difficiles – qu’à un échelonnement de ses charges.

Et il ne s’agit pas d’une affaire isolée. En France, comme à l’étranger, les exemples de ce type sont légion. Les préjudices se montent généralement à plusieurs dizaines ou centaines de milliers d’euros, mais peuvent atteindre sans mal le million d’euros. Ainsi, en février dernier, la section de recherche de la Gendarmerie de Bordeaux appréhendait deux personnes suspectées d’animer un réseau d’escrocs spécialisés dans les fraudes au président. Préjudice total : 4,6 millions d’euros. Et parmi les victimes du duo, deux entreprises avaient été dépouillées à elles seules de 1,2 million d’euros chacune.

Mais l’attaque qui a le vent en poupe aujourd’hui, c’est la fraude au fournisseur, dans laquelle l’escroc, après avoir pris le contrôle de la messagerie du fournisseur, contacte un client en lui indiquant que les coordonnées de la société ont changé, poussant ainsi le client à lui transférer les fonds sur un autre compte, lui appartenant (à noter que cette attaque fonctionne aussi parfois à l’aide d’un courrier émis depuis une adresse ressemblant à celle du fournisseur, sans qu’il n’y ait de piratage de ce dernier à proprement parler)

Selon l’étude Euler Hermes, ce type de fraude représenterait 54% des tentatives en 2018. Ici, l’impact financier est subi par le client qui, bien qu’il n’ait pas été piraté, se retrouve à virer des fonds destinés à son fournisseur sur le compte du pirate (et il n’est probablement pas assuré contre de telles bévues).

Mais le fournisseur lui-même en souffrira également, tant par l’impact sur la relation commerciale et la perte de confiance de son client que, parfois, sur les gestes commerciaux qui devront être consentis par la suite.

Toutes ces fraudes très à la mode trouvent leur origine dans une attaque devenue tellement populaire auprès des escrocs qu’elle a désormais son propre acronyme : BEC, pour Business Email Compromise, ou compromission du compte email professionnel. Celle-ci se pratique via l’usurpation du nom de domaine de l’entreprise (défaut de veille des noms de domaine récemment déposés) et/ou l’infection du poste de travail d’un collaborateur (défaut de protection des postes de travail).

Quand aux victimes des cryptogiciels, si elles s’en tirent le plus souvent pour quelques milliers d’euros de rançon « seulement », c’est sans compter les pertes d’exploitation, souvent difficiles à supporter pour une petite structure (potentiellement plusieurs jours d’arrêt total).

Pourtant, même là, la rançon peut être extrême : l’hébergeur coréen Nayana en a fait les frais. L’an dernier, ses 153 serveurs, hébergeant au total 3400 sites commerciaux, étaient pris en otage par les opérateurs du ransomware Erebus. Pour libérer l’entreprise, et ainsi redonner à ses clients l’usage de leurs sites, Nayana a dû débourser un million de dollars de rançon.

Des conséquences humaines

De telles escroqueries peuvent toutefois avoir un impact beaucoup plus lourd, non plus financier, mais humain cette fois : les autorités auraient recensé en deux ans au moins deux suicides de collaborateurs ayant été dupés et ne pouvant supporter d’avoir joué un rôle, bien qu’involontaire, dans les déboires subis par leur entreprise.

Moins grave, mais toujours sur le plan humain : dans l’immense majorité des cas les collaborateurs ayant, par mégarde et peut-être aussi par manque de sensibilisation, facilité une telle escroquerie, sont licenciés pour faute. Cela vient alors ajouter à la désorganisation vécue par l’entreprise et à la difficulté à remobiliser le personnel après un tel arrêt de production, et potentiellement pour certains le recours au chômage technique.

Vol de savoir-faire

Faute de mécanisme juridique permettant de protéger son savoir-faire (le fameux « secret des affaires », qui peine tant à exister en France), le chef d’entreprise est livré à lui-même. Il est condamné à protéger comme il le peut le produit de ses investissements en recherche et développement et son savoir-faire.

Bien entendu, puisque désormais tout est numérique, la protection passera nécessairement aussi par des outils et de bonnes pratiques numériques. Et c’est bien là toute l’incohérence d’un patron soucieux de protéger son entreprise, mais qui refuserait de s’intéresser à la sécurité numérique : il serait totalement aveugle sur le « contenant » de son capital immatériel, et encore plus sur les moyens utilisés par ses adversaires pour le piller.

Et cela ne relève en aucun cas de la fiction : la lutte économique à l’échelle de la planète ne fait pas de différence entre les cibles, quelle que soit leur taille. De petites PME régionales sont (très) régulièrement prises pour cible parce qu’elles détiennent un savoir-faire jugé crucial pour un concurrent étranger ou qu’elles appartiennent à la chaîne de sous-traitants d’un plus grand groupe national, plus difficile à atteindre directement.

Selon la Direction Générale de la Sécurité Intérieure (DGSI), 1000 cas d’espionnage industriel feraient l’objet d’une procédure judiciaire chaque année. Des chiffres anciens (2015) et probablement déjà largement sous-estimés, tant bon nombre de victimes préfèrent se taire (par peur de l’impact sur leur réputation auprès de leurs clients) ou ignorent tout simplement qu’elles ont fait l’objet d’un pillage (ne pas se protéger, c’est aussi être aveugle sur ce qui se passe sur son système d’information).

D’ailleurs, dans un entretien accordé à La Tribune, Bernard Carayon, ancien député et auteur du premier rapport français sur l’Intelligence Économique, indique que ce chiffre devrait être multiplié « par 10 ou 20 » et que les PME représenteraient un tiers des victimes.

Fraudes, arnaques ou cyberattaques ? Peu importe : tout est risque !

En définitive, il devient difficile de faire la part des choses entre les différentes fraudes, arnaques et tentatives d’espionnage industriel, qui peuvent emprunter n’importe quelle voie (exploitation de faiblesses humaines, intrusion physique au sein des locaux, manipulations juridiques…) et des attaques purement numériques. Tout simplement parce que le numérique s’est étendu, par capillarité et peut-être sans que l’on y prenne bien garde, à l’ensemble des activités de l’entreprise.

L’un des rôles du dirigeant est de piloter son entreprise par les risques. Très souvent, il le fait de manière naturelle pour ce qui est des risques commerciaux, financiers et même juridiques. Il sait s’entourer et écouter son directeur commercial ou financier, son comptable ou son avocat, afin de prendre les décisions qui s’imposent. Le risque numérique ne doit pas faire exception : il est un risque opérationnel comme les autres. Le chef d’entreprise doit s’entourer d’un expert de la cybersécurité pour l’écouter et prendre les bonnes décisions, comme il le fait depuis la nuit des temps dans les autres domaines, sans qu’il ne soit pour autant devenu un expert de la comptabilité, des ventes ou de la finance.

 


La cybersécurité
est aussi un argument commercial !

Si le ton de cet article vous semble par trop pessimiste, rassurez-vous : il existe une autre bonne raison pour laquelle un chef d’entreprise consciencieux devrait s’intéresser à la cybersécurité : car c’est un argument commercial ! À commencer parce que des certifications telles ISO27001 ou une démarche volontariste de mise en conformité au règlement européen sur la protection des données personnelles (RGDP) prouvent l’engagement de l’entreprise à respecter de bonnes pratiques de sécurité (et donc à protéger les informations de ses clients, par exemple). Mais aussi, maintenant que l’ANSSI communique autour des Visas de sécurité -sa marque d’excellence pour les solutions et les services de cybersécurité de confiance- parce qu’il est plus que jamais rentable de prendre la peine d’entamer de telles démarches qui pourront à l’avenir faire la différence dans les appels d’offres auxquels il répondra.

 


Le top 3 des excuses
pour ne pas s’occuper de cybersécurité

 Excuse #1 

“Nous n’avons pas les moyens”

Réponse : Les conséquences financières sont désormais faciles à chiffrer. Et il n’y a pas que le risque financier : le vol de propriété intellectuelle, d’informations critiques (listes de clients) ou le sabotage industriel peuvent s’avérer plus longs et plus délicats à réparer.

 

 Excuse #2 

“Il n’y a rien à voler chez nous”

Réponse : Les attaquants recherchent aussi des ressources (serveurs, espaces de stockage, minage de crypto monnaie) pour mener ou financer des activités illégales auxquelles vous n’avez probablement aucune envie d’être mêlés.

 

 Excuse #3

“Je préfère payer lorsque cela arrivera plutôt qu’investir pour rien”

Réponse : Il ne s’agit plus de « si », mais de « quand » cela arrivera. Et puis, qu’il se soit « passé quelque chose » ou non, l’investissement en cybersécurité est désormais considéré par de nombreux clients comme un différenciateur, quand ce n’est pas une exigence.