Le risque numérique pour les entreprises : tous concernés par ce risque immatériel
Aujourd’hui, les entreprises sont la principale cible d’attaques informatiques et ce, quelle que soit leur taille. Pour les entreprises de moins de 50 salariés, 4 sur 10[1] ont été victimes d’attaques informatiques par rançongiciel[2]. Les grandes entreprises ne sont pas plus épargnées. En 2019, la société Altran a vu tout son système d’information paralysé juste avant la publication de ses résultats sur les marchés financiers.
Les préjudices liés à la cybercriminalité : atteintes à l’e-réputation, vol de données personnelles, d’informations couvertes par le secret des affaires, pertes financières, sont des risques majeurs qui nécessitent la mise en œuvre de mesures de protection technique mais également humaine et d’anticiper la gestion de crise.
Les entreprises doivent, avant tout, mettre en place un plan d’action afin de protéger leurs patrimoines immatériels et relever leur niveau de sécurité. Ce plan doit être anticipé et prendre en compte tous les volets de l’entreprise qu’il s’agisse des infrastructures physiques et techniques, du personnel ou des processus organisationnels.
Lutter contre les cyberattaques passe indéniablement par la sensibilisation et la formation du personnel, premier acteur de la protection des données de l’entreprise. Tous les professionnels doivent pour cela acquérir des « réflexes sûreté cyber » tels que ne pas laisser sans surveillance leurs ordinateurs ou téléphones professionnels, ne pas procéder à des opérations sensibles lorsqu’ils sont sur des wifi publics ou encore de crypter leurs supports numériques, protection indispensable en cas de vol. De même, l’organisation régulière d’audits et de tests sont autant de mesures permettant à l’entreprise de s’assurer que son dispositif est adapté et qu’elle dispose des ressources indispensables à sa protection.
Enfin, en cas de cyberattaques, il est important, concomitamment, de porter plainte et de geler les systèmes dès la compromission enclenchée ou détectée. Il est essentiel que les entreprises qui subissent de telles attaques se rapprochent des services de police et veillent à la préservation de la preuve en isolant les machines compromises et en les tenant à disposition des enquêteurs pour analyse.
Pour conclure, il est primordial aujourd’hui d’inclure les risques numériques dans la gestion de crise au même titre que les risques juridiques, financiers ou opérationnels. Chaque dirigeant d’entreprise, chaque personne personnellement comme professionnellement doit prendre conscience que les données sont un patrimoine qu’il faut sécuriser voire assurer.
La participation de la sous-direction de la lutte contre la cybercriminalité (SDLC) aux réflexions prospectives de Place Escange a vocation à éclairer d’une vision singulière les débats et les axes de propositions. Au cœur de la lutte contre ce phénomène depuis 2001, l’OCLCTIC et depuis 2014 pour la SDLC contribuent aux travaux nationaux, européens et internationaux pour améliorer l’identification des groupes criminels organisés et à la prévention.
Souhaitons une belle réussite à Place Escange, à son souhait d’associer la SDLC de la direction centrale de la police judiciaire à un panel d’experts et qu’une impulsion, une dynamique commune accompagne les entreprises françaises dans leur épanouissement économique et leur sécurité cyber.
[1] Source : https://www.cpme.fr/positions/numerique/16-chiffres-cles-sur-la-cybersecurite-des-entreprises-50-salaries
[2] Logiciel malveillant qui chiffre les données ou rend les systèmes inutilisables et affiche une page indiquant une demande de rançon (à vérifier mais la note de rançon peut arriver après – il n’y a pas forcément une page qui s’affiche)
Catherine Chambon, Sous-directrice de la lutte contre la cybercriminalité – Direction centrale de la police judiciaire – Ministère de l’Intérieur, occupe également la fonction de Présidente d’Interpole Cybersécurité.