« La cybersécurité doit être intégrée à la stratégie de croissance de l’entreprise »

En quoi la cybersécurité est-elle un enjeu pour les entreprises ?

C’est un enjeu pour les dirigeants parce que la pénétration des nouvelles technologies est devenue telle que tous les processus d’une entreprise en dépendent. Si des cyber-attaquants arrivent à pénétrer dans une entreprise, il peut y avoir des impacts très importants à tous les niveaux. L’un des plus connus, est l’impact d’image. 52% des dirigeants l’identifient comme le risque principal lié à la protection des données. En cas de piratage, d’intrusion et de vol de données personnelles, les consommateurs peuvent par exemple se détourner d’une entreprise. L’un des autres risques connus, est celui de la fraude, qui peut avoir pour conséquence des pertes financières, avec des détournements de fonds, des piratages de comptes. Et puis il y a des impacts certes moins visibles, mais tout aussi nocifs, comme l’introduction de logiciels espions dans les serveurs d’une entreprise pour surveiller sa stratégie, accéder à ses travaux de R&D ou prendre connaissance de ses projets de fusions acquisitions.

La cybersécurité concerne-t-elle toutes les entreprises ?

On a pendant trop longtemps pensé que les petites entreprises et les PME n’étaient pas concernées par les cyber-attaques car leur taille les protégeait. Aujourd’hui ce discours n’est plus valable pour deux raisons : d’abord parce que les cyber-attaquants sont souvent extrêmement rationnels et pragmatiques. Ils savent que les grands groupes représentent certes les plus belles proies, mais aussi que ce sont les structures les mieux dotées en personnels et en outils pour lutter contre ces tentatives de fraudes et d’intrusion. Dans les petites entreprises, le gain potentiel est moindre, mais il y a beaucoup moins de protections. Le ratio gains/difficultés est donc souvent plus avantageux. Ensuite, les cyber-attaquants ont de nouvelles méthodes. Depuis quelques années, ils travaillent sur le volume. Les criminels du Web utilisent des robots pour parcourir internet en permanence et trouver des cibles, les endroits où les systèmes informatiques contiennent des failles. Ils font tourner leurs robots en permanence sur toutes les adresses IP de l’Internet. Si vous êtes une PME avec un site web mal protégé, vous risquez d’être piraté au bout quelques heures ou de quelques jours. C’est quasiment certain.

Quel budget faut-il prévoir pour se protéger de ce genre d’attaques et quels sont les facteurs clés de succès ?

Les estimations qui courent sont de l’ordre de 3 à 6% du budget informatique, mais cela dépend vraiment de la société et de ses besoins. Quoi qu’il arrive, pour être vraiment efficace, il faut avoir en tête que la cybersécurité n’est pas seulement un problème d’informatique. C’est un sujet qui doit être intégré dans les processus et les projets métiers et dans la stratégie de l’entreprise au plus haut niveau, celui de la Direction. Les budgets de cybersécurité devraient être rapportés aujourd’hui à l’ensemble de l’activité d’une société. Les budgets nécessaires peuvent être élevés, mais c’est un enjeu majeur pour toutes les entreprises.

En attendant, quelles sont les premières étapes à mettre en place pour sa cybersécurité ?

La première étape est celle de la prise de conscience. Il faut réaliser que n’importe quelle entreprise peut être une cible pour les cyber-attaquants. Le deuxième point, c’est de bien identifier les éléments de la société qu’il faut protéger en priorité. Aux Etats-Unis par exemple, il y a eu récemment un problème avec une société dans le domaine de la santé vendant des objets connectés qui fonctionnaient avec des réseaux sans fil. La société s’est rendu compte que ses produits pouvaient être piratés à distance. Il a donc fallu rappeler tous ces produits ! Il aurait fallu anticiper ces risques bien en amont. Bien sûr, on ne peut pas généraliser, tout dépend de la société, de sa taille, de son secteur d’activité. Mais il faut s’interroger sur ce qu’un attaquant pourrait faire pour nuire à une société ou à ses clients. Et enfin et c’est très important, il ne faut pas penser qu’il suffit de confier la responsabilité de la cybersécurité à une seule personne. Il est impératif qu’il y ait une culture de cybersécurité dans l’entreprise. Il faut des protections, des procédures, des outils, des mécanismes, mais aussi des comportements au quotidien. Il faut contribuer à diffuser cette culture dans l’entreprise sur le long terme.