DÉSTABILISATION, ESPIONNAGE, SABOTAGE : COMMENT SENSIBILISER LA DIRECTION ?
92 %, c’est le pourcentage d’entreprises attaquées une ou plusieurs fois par an selon la 3e édition du baromètre annuel du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique). Autrement dit, virtuellement tout le monde. Pire : depuis un an, 50% des entreprises notent une augmentation du nombre d’attaques, générant pour le quart d’entre elles des impacts concrets sur leurs affaires (arrêt de la production, indisponibilité du site internet, perte de chiffre d’affaires, etc.).
La sécurité numérique est un sujet qui dépasse très largement les simples frontières du service informatique. Le développement des outils dans le cloud, les applications mobiles, et les outils de messagerie et de paiement instantanés sont autant d’accélérateurs de business, que des vecteurs d’attaques potentiels. Pour se défendre efficacement, la formation et la sensibilisation doivent donc être l’affaire de tous. Et en particulier pour la direction qui a le pouvoir de faire de la cybersécurité, un véritable enjeu stratégique pour protéger les actifs de l’entreprise.
À quels dangers s’exposent les entreprises en ligne ?
Oublions un moment les virus, les malwares et les tentatives d’escroquerie. Ces dangers sont courants, et généralement bien anticipés par la plupart des entreprises. Cela ne signifie pas pour autant que les attaques ne font plus de victimes. Mais il y a un autre versant au moins aussi préoccupant – sinon plus – qui pèse de façon croissante sur les organisations. Ce sont d’autres menaces qui peuvent entraîner des préjudices conséquents tant sur le plan économique que sur le périmètre fonctionnel de l’entreprise et sur son image de marque.
Exemples :
- La déstabilisation : il s’agit de prendre possession d’un système d’information (site web, intranet, application mobile ou serveur email) pour propager et diffuser des messages porteurs de haine, extrémistes, racistes, terroristes ou xénophobes. Les répercussions concernent principalement l’image de l’entreprise. Si elle n’est pas capable de protéger ses propres canaux de communication, comment pourrait-elle protéger les données confidentielles ou personnelles de ses clients ?
- L’espionnage : les intentions sont aussi nombreuses que les conséquences potentielles. Généralement, le but des pirates est de pénétrer à l’intérieur d’un système pour se procurer des données confidentielles qui pourront ensuite être rendues publiques, vendues à un concurrent ou répliquées pour son propre compte. Entre vol de technologies, de brevets ou de solutions techniques, et disparitions de données personnelles sensibles (dossiers médicaux, casiers judiciaires, fichiers personnels, etc.), les espions 2.0 disposent d’une mine d’informations qui peuvent nuire durablement à l’entreprise. Encore plus lorsque l’intrusion reste de longues semaines ou de longs mois sous les radars, car contrairement à la déstabilisation, l’espionnage cherche à rester le plus discret possible.
- Le sabotage : c’est la version numérique du mortier où le but est de faire un maximum de dégâts. C’est une attaque destructrice qui peut neutraliser des milliers d’ordinateurs, des serveurs ou des logiciels très spécifiques comme ceux qu’on retrouve dans les hôpitaux, les unités de gestion d’eau potable, les centrales nucléaires, etc. En clair : viser là où ça fait mal.
Que faire pour sensibiliser la direction ?
Face à tous ces dangers, faut-il pour autant être alarmiste ? Non, mais il faut rester prudent.
La bonne nouvelle, c’est que les solutions existent et sont à la disposition des entreprises. En revanche, sans des directives prédéfinies par l’équipe dirigeante, ces solutions risquent d’être plus compliquées à mettre en place le moment venu. Si la DSI est la cheville ouvrière de la sécurité des données et des communications, la direction doit impulser le mouvement. Pour y parvenir, il est nécessaire d’être clair, concis et de ne pas tomber dans l’exhaustivité technique afin de convaincre les preneurs de décisions avec pertinence et efficacité :
- Évitez les généralités et présentez des facteurs de risque précis. Concrètement, quels sont les trois grands risques principaux ? Quelles sont les informations à protéger absolument et comment sont-elles échangées et stockées ?
- Que font les concurrents ou les entreprises comparables du secteur d’activité ? Quelles sont les bonnes pratiques du moment ? Prenez le temps de contextualiser les situations et les cas pratiques. Montrez que toutes les entreprises font face aux mêmes défis et que vous n’êtes pas un cas isolé.
- Quel est le coût d’une intrusion ? Faites différents scénarios : entre le vol de données personnelles, le sabotage, l’espionnage, etc. Combien coûterait la remise en activité ? Quelle serait la perte sur le chiffre d’affaires ? Quels sont les risques d’amende de la part des autorités si l’entreprise n’a pas de système de sécurité en place ?
- Faites du storytelling autour d’un cas concret d’attaque informatique : d’où vient l’attaque ? Comment a-t-elle contourné les systèmes de défense actuels ? Pendant combien de temps peut-elle rester incognito ? Quelles sont les données qui peuvent avoir été dérobées ?
Mythes et idées reçues
Sans être des spécialistes de la cybersécurité, la direction générale peut avoir une vague idée, ou pire, des idées arrêtées sur le sujet. Ce sont des croyances limitantes qui empêchent généralement toute argumentation. À moins d’y être bien préparé. Illustrations.
La cybersécurité n’est pas un sujet pertinent pour notre organisation
C’est un argument classique, en particulier pour les PME. Pour les entreprises qui effectuent encore une partie importante de leur travail hors ligne, il est difficile de comprendre pourquoi la cybersécurité est si importante. Pourtant, un simple email ou un smartphone connecté sont suffisants pour contaminer un système d’information. Sans compter que le nouveau règlement européen (RGPD) oblige toutes les entreprises traitant des données personnelles à faire tout ce qui est possible pour les protéger. En plus des problèmes de réputation, l’entreprise pourrait aussi faire face à une sanction financière pour négligence.
Nous n’avons pas les moyens
Votre conseil d’administration ou votre direction générale intègre les coûts directs et indirects liés à la sécurité comme une charge et non comme un investissement. Pourtant, elle a bien les moyens de payer pour une assurance sur les murs ou les actifs de l’entreprise. Ici, c’est la même chose. La moindre brèche peut générer des pertes d’exploitation cent ou mille fois plus importantes que le coût de la protection.
Nous ne craignons rien
C’est le moment de sortir la liste de toutes les cybermenaces que vous avez maitrisées jusqu’à maintenant : spam, phishing, virus, malware, piratages divers, social engineering… Soyez exhaustif ! Le but n’est pas de faire peur, mais bien de montrer la réalité de l’écosystème tel qu’il est aujourd’hui.
On verra cela le jour où le problème se présentera
C’est probablement l’argument le plus frustrant et le moins cohérent, mais il faut l’accepter. Pour cela il vous faut présenter des scénarios clairs et élaborés. Étape 1, arrêt de fonctionnement des emails. Étape 2, cryptage des fichiers locaux et des bases de données. Étape 3, fuite de documents confidentiels, etc.
Une attaque peut entrainer une perte totale de productivité. Et le fait d’attendre l’accident avant de réagir pourrait surtout faire en sorte qu’il n’y ait plus besoin de réagir en raison de la paralysie complète de l’entreprise. Les faillites causées par des piratages ne sont pas une légende.
En termes de cybersécurité, il est indispensable de travailler de concert avec la direction. Elle joue un rôle essentiel dans la stratégie et doit intégrer la dimension de la sécurité numérique dans toutes ses réflexions. Comprendre que la sécurité est l’affaire de tous est un travail transversal qui doit s’appuyer sur la DSI, les RH et la communication pour une vision holistique des problématiques rencontrées.