Cinq idées reçues sur la cybersécurité

Parce qu’elles sont répandues et qu’il est urgent d’agir, il est impératif de remettre en cause cinq idées reçues sur la cybersécurité.

La cybersécurité est une zone où s’entrecroisent méconnaissance, peurs, et insouciance. Dans ce territoire à hauts risques, tous ceux qui ne sont pas des professionnels se sentent facilement perdus. Sa forte dimension technologique qui, à la fois, attire et repousse, mais dans tous les cas intrigue ou fait fantasmer, renforce la fascination exercée par le cybercrime et sa réponse : la cybersécurité. Son côté ésotérique amplifie encore sa perception comme une menace déployant son ombre chaque jour un peu plus, et pouvant aujourd’hui toucher n’importe qui. Cette perception est parfaitement juste : tout le monde, sans aucune exception, est concerné par le phénomène. Les pertes imputables aux attaques informatiques ont atteint en 2020, 1 000 milliards de dollars, plus d’1% du PIB mondial.

 

Des progrès et des problèmes

La numérisation de pans de plus en plus importants de l’existence et de l’activité a fait des interfaces, des sites, des réseaux et des plateformes le lieu principal des échanges interhumains (économiques, informationnels, relationnels, etc.), ouvrant autant de portes nouvelles aux cybercriminels. Le progrès apporte son lot de problèmes.

Mis en pratique par des groupes occultes de plus en plus puissants, saisi comme une opportunité de développement par les différentes mafias qui règnent sur le crime organisé, le cybercrime s’est largement industrialisé ces dernières années, faisant preuve d’une redoutable efficacité.

Certains pensent que faire l’autruche les sauvera. D’autres ne se croient pas concernés. Pourtant, se joue ici une partie significative de l’avenir de l’économie planétaire. « Deuxième risque le plus préoccupant pour le commerce mondial au cours de la prochaine décennie » selon le Rapport sur les risques mondiaux 2020 du Forum économique mondial de Davos, la cybercriminalité serait l’équivalent de la troisième économie mondiale derrière les Etats-Unis et la Chine. Selon notre capacité à combattre ce fléau, ou du moins à le contenir dans des limites acceptables, nous pourrons pleinement rétablir la confiance, donc assurer la pérennité du tissu économique.

 

Le royaume des idées toutes faites

Comme tout lieu de fantasmes, la cybersécurité est aussi le royaume des idées toutes faites.

En ce qui concerne les PME ou les ETI, voici les cinq principales idées reçues.

 

Première idée reçue : « Ça n’arrive qu’aux autres ».

Les « autres », pour une PME ou une ETI, ce sont les Grands Comptes. La cybermenace ne concernerait que les sociétés qui ont un très grand nombre d’éléments à protéger. Par leurs multiples interfaces, liées à leurs multiples collaborateurs et à leurs abondants équipements, les grands groupes présenteraient autant de portes ouvertes aux cyberattaques. Or, ces grandes entreprises, généralement très conscientes du cyber-risque, sont très bien équipées pour faire face aux tentatives malveillantes d’intrusion dans leur Système d’Information. D’autre part, ce sont les PME et les ETI qui sont majoritairement visées par les cybercriminels. Plus fragiles, plus démunies, souvent sous-équipées et manquant pour beaucoup d’une culture de la cybersécurité, elles sont des cibles de choix, et sont de fait les plus attaquées, et de loin. Il est donc bon pour un responsable ou un patron de PME ou d’ETI de revoir ses certitudes sur l’air du « ça n’arrive qu’aux autres » car « ça » leur arrivera. 41% des entreprises de 0 à 9 salariés et 44% des entreprises de 9 à 49 salariés ont déjà subi une cyberattaque. Cette tendance ne fait que s’amplifier : les attaques dirigées vers les entreprises de moins de 250 salariés sont passées de 18% à 31% en l’espace de 4 ans. D’ailleurs, 70% des hackers ciblent délibérément les PME.

 

Deuxième idée reçue : « la cybersécurité coûte de l’argent ».

Il serait malhonnête de prétendre que se protéger de l’action des cybercriminels ne coûte rien. Pourtant, ne pas le faire coûte encore plus cher. Pour preuve : aux États-Unis, la moitié des TPE/PME ou ETI attaquées ont font faillite dans les six mois qui ont suivi leur agression. Ne pas être équipé en systèmes performants de cybersécurité fait à l’évidence courir un risque immense aux entreprises. Une attaque présente un coût direct : pertes de données, montant de la rançon, coût de la remédiation, atteinte à la réputation de l’entreprise, etc. Mais le coût indirect d’un système faible ou défectueux est également important car l’interopérabilité avec les autres entreprises peut être remise en cause. En effet, les partenaires, les clients actuels ou potentiels exigent aujourd’hui de plus en plus des rapports de vulnérabilité et la preuve de la présence d’une sécurisation des Systèmes d’Information pour entamer ou poursuivre une collaboration. Ainsi, la cybersécurité peut ouvrir ou fermer des portes, c’est-à-dire ouvrir ou fermer des marchés. Ceci permet de revenir sur l’idée que la cybersécurité coûte de l’argent : elle en fait également gagner.

 

Troisième idée reçue : « la cybersécurité, c’est compliqué ».

De nombreux DSI, peu au fait des avancées technologiques et des nouvelles offres en matière de protection, pensent en effet que la protection du Système d’Information de leur entreprise est une tâche complexe, exigeant un niveau de connaissance qui dépasse leurs compétences ou dont ils se pensent dépourvus. En un mot : ils ont peur. En réalité, la cybersécurité est aujourd’hui une pratique susceptible de leur simplifier la vie, y compris dans l’installation d’un dispositif de protection solide contre les cyberattaques. Désormais, des outils sont abordables, faciles à intégrer et ne demandant pas de connaissances trop pointues. Une cybersécurité efficace et d’usage aisé est donc aujourd’hui à la portée de tous les DSI. Encore une idée toute faite qui part en fumée !

 

Quatrième idée reçue : « la cybersécurité, c’est un truc de DSI ».

En réalité, la sécurité du Système d’Information de l’entreprise n’est pas que l’affaire du DSI ou du service IT. Il s’agit au contraire d’un engagement de toute l’entreprise, d’autant que le facteur humain est le maillon le plus fragile de la chaine. 75% des cyber attaques sont en effet imputables à des acteurs malveillants extérieurs aux sociétés qui, nécessairement, essaieront d’exploiter cet angle d’attaque. Par ailleurs, près de 80% des cyberattaques sont le résultat d’une intrusion dans le Système d’Information par le biais de l’ordinateur ou de l’objet connecté d’un collaborateur. Un clic sur un email non identifié comme porteur d’une menace, et c’est tout le Système d’Information qui est potentiellement mis en danger. La cybersensibilisation de toute l’entreprise est donc nécessaire pour atteindre un niveau de protection satisfaisant. La cybersécurité et la lutte contre la cybercriminalité ne concernent donc pas que des geeks en sweat à capuche, c’est l’affaire de toute l’entreprise. Autre idée toute faite dont il faut se défaire.

 

Cinquième et dernière idée reçue : « la cybersécurité, c’est du temps court ».

La cybersécurité se résumerait à des situations relativement brèves pendant lesquelles se déroulerait une attaque. L’erreur ici est de croire que la sécurité n’est menacée que pendant les attaques qui, le croit-on, n’auraient lieu qu’une fois. Or, les cybercriminels prennent leur temps. Leur démarche est insidieuse. Ils peuvent rester tapis des mois dans le Système d’information d’une entreprise, et y installer de nombreuses possibilités d’action avant d’être détectés. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE) constatent qu’il se passe en moyenne 167 jours entre une intrusion cybercriminelle et sa détection. Il faut donc se mettre dans une perspective de temps long pour envisager concrètement un bon niveau de cybersécurité. Les nouvelles attaques génèrent de nouvelles façons d’y répondre, les entreprises évoluent, et la cybersécurité doit évoluer avec. Ainsi, il faut penser la cybersécurité comme une pratique à part entière et permanente dans la bonne gestion d’une entreprise, et non pas comme un moment isolé dissociable du quotidien. C’est là une des petites « révolutions culturelles » que doivent opérer les dirigeants d’entreprise pour aborder avec efficacité cette question cruciale pour leur avenir.

 

Avec la remise en question de ces cinq idées toutes faites, c’est désormais une évidence : la cybersécurité, c’est plus important qu’on ne le pense, et moins compliqué qu’on ne le croit. CQFD.

 

Tribune rédigée par Marc Benero, COO de Menaya

 

<<< Lanceur d’alerte : l’ancien chef de la cybersécurité de Twitter sort du silence >>>