L’accélération digitale a profondément modifié le rapport des entreprises à la sécurité. Aujourd’hui, les données stockées dans le cloud et l’avènement des big data provoquent l’appétit des hackers, tout heureux de pouvoir cibler des parcs entiers de données, là où elles étaient auparavant éparpillées.
D’autre part, l’explosion et la vitesse de développement et de mise sur le marché de l’internet des objets génèrent des failles plus fréquentes. Failles au creux desquels les cybers attaquants se glissent avec délice.
Cela dit, devant la recrudescence des failles de sécurité, trois enjeux de la cybersécurité se dégagent de plus en plus pour les entreprises.
Anticiper la prochaine cyberattaque
Espérer passer au travers des gouttes, c’est se bercer d’illusions. La moitié des entreprises françaises a dû faire face à une cyberattaque en 2022. Et des groupes comme La Poste ou Thales ont été directement menacés. Quant aux hôpitaux, qui regorgent de données personnelles monnayables pour les hackers, leur budget de fonctionnement est tellement limité qu’ils ne peuvent se défendre. Pire, il leur est demandé d’avancer tête baissée dans la dématérialisation sans équipement de sécurité informatique capable de les protéger de la moindre incursion.
Dans ce contexte, la vraie problématique n’est pas de calculer la probabilité d’une attaque, mais bien d’espérer disposer de suffisamment de temps pour se prémunir avant qu’elle n’ait lieu. Qu’on le veuille ou non, il va bien falloir se décider à allouer des budgets honorables pour se défendre de ces cyberattaques. Si l’on reprend le cas des hôpitaux : entre payer un ransomware pour que les données personnelles des patients ne soient pas divulguées et engager des fonds dans la cybersécurité, le calcul est vite fait. Selon Titiana Ltd, le peu d’intérêt dédié à la cybersécurité a pour conséquence une amputation de l’ordre de 9% du CA par an aux entreprises. De l’autre côté, bonnes pratiques de protection n’imputeraient que 5 % du budget informatique pour protéger une entreprise des attaques.
Commencer par former les collaborateurs
La grande majorité des attaques commencent par un phishing où sont le résultat de malwares. De fait, avec un minimum de formation, de nombreux collaborateurs sauraient reconnaître les pièges et éviteraient les comportements internet à risque pour l’entreprise. La première des choses à faire pour les entreprises est donc d’investir dans la formation et la sensibilisation, un coût limité si l’on en revient aux conséquences financières catastrophiques que peuvent avoir une cyberattaque d’envergure.
D’autre part, sécuriser son entreprise demande des compétences spécifiques, pointues. Des compétences qui se payent. Or, les entreprises françaises sont peu généreuses de ce côté, contrairement à d’autres pays dans lesquels la culture informatique est bien plus implantée. Pour s’assurer d’une bonne protection, les entreprises vont devoir revoir les émoluments prévus pour leur responsable cybersécurité à la hausse. Et fortement si la France souhaite retenir ses talents, plus enclins à filer en Suisse ou au Canada…
Se prémunir des cyberattaques pour préserver la pérennité de l’entreprise
Compte tenu des conséquences financières inhérentes à une cyberattaque, il est préférable de prendre les devants. Pour cela, de multiples solutions existent d’ores et déjà. Des solutions logicielles et des solutions humaines. Dans de nombreux cas, les entreprises n’ont pas la taille suffisante pour créer une fonction entièrement dédié à la cybersécurité. Elles peuvent faire appel aux spécialistes du domaine ou des MSSP capables d’adapter la réponse sécuritaire aux différents paramètres de l’entreprise.
Certes, il n’est pas toujours aisé pour une entreprise de définir ses propres besoins. Pas plus que d’identifier quel type d’expertise peut se révéler nécessaire. La première chose à faire est donc de réaliser un audit complet de la cybersécurité de l’entreprise, afin de définir les besoins, le budget pouvant se construire dans le temps en fonction des priorités. Une démarche de ce type, associée à une réelle intention de sensibilisation et de formation des personnels aux menaces cyber se révèlera forcément bénéfique pour toute l’entreprise.