Le coût médian d’une cyberattaque pour une entreprise s’élève à la conséquente somme de 50 000 euros. Mais il ne s’agit là que de la partie émergée de l’iceberg. Un certain nombre de cyber incidents d’ampleur, fortement médiatisés, ont alerté l’opinion publique quant aux conséquences d’une attaque contre une entreprise pour son écosystème de partenaires et de clients. Tant et si bien que les entreprises françaises peuvent se voir demander de montrer patte blanche et de rassurer quant à leur capacité à protéger les données sensibles de leurs clients et prestataires.
Outre les conséquences financières directes (arrêt de la production, vol de fonds, perte immédiate de chiffre d’affaires, etc.), la survenue d’une attaque informatique est susceptible de fissurer la confiance que portent à une entreprise ses clients et ses partenaires, entachant sa réputation et mettant en péril sa viabilité commerciale à long terme.
Entrer en affaires avec un partenaire commercial, qu’il s’agisse d’un client, d’un prestataire, d’un fournisseur, implique inévitablement de partager avec lui certaines de ses données, et parfois même de lui donner accès à son propre système d’information.
Alors que l’on parle de plus en plus de perte de données stratégiques, de rançongiciels, de phishing, d’attaques critiques perturbant la continuité de service, il est plus que logique qu’un nombre croissant de clients hésite à faire confiance à une entreprise incapable de prouver sa maîtrise des questions de cybersécurité.
Les clients d’une entreprise, qu’il s’agisse de professionnels ou de particuliers, ont un droit de regard sur l’usage qui est fait des données qu’ils partagent. Le Règlement général sur la protection des données (RGPD) européen, entré en vigueur en 2018, consacre d’ailleurs l’obligation pour les organisations de faire preuve de transparence quant à leurs pratiques de recueil, de traitement, de conservation et de transfert des données personnelles. Il est également donné aux consommateurs la possibilité de consulter, modifier, ou supprimer leurs informations personnelles.
Pour être une loi contraignante, le RGPD n’en est pas moins précieux pour les entreprises : en respecter les dispositions les aide à se prémunir contre des fuites de données personnelles qui pourraient irrémédiablement compromettre leur réputation. À l’inverse, mettre en exergue (par exemple dans les contrats, ou au moment de l’entrée en relations d’affaires) son attachement à respecter le RGPD peut aider une entreprise à marquer des points auprès de prospects ou de partenaires potentiels.
La meilleure manière pour une entreprise de rassurer ses clients et prestataires sur son hygiène cyber est sans doute de publier une charte informatique. Sur la base d’un inventaire exhaustif des données et systèmes et d’un audit de sa surface d’attaque, il s’agit de mettre en place des systèmes de protection, un plan de réponse et de continuité d’activité en cas d’attaque, ainsi qu’une gouvernance clairement définie. Cette charte doit être formalisée de manière à pouvoir être présentée (à la demande ou spontanément) aux partenaires ou clients de l’entreprise.
Le facteur humain est le principal maillon faible des systèmes de cybersécurité. À raison : selon une étude d’IBM, 95 % des cyber violations ont pour origine l’erreur humaine. Un certain nombre de leviers peuvent aider un dirigeant d’entreprise à sensibiliser ses collaborateurs aux bons réflexes :
Un certain nombre d’institutions publiques comme privées délivrent aux entreprises des certificats garantissant qu’elles sont bien protégées contre les risques cyber. C’est le cas du cyber-assureur Stoïk, qui fournit aux TPE et PME qu’il couvre une certification garantissant la qualité de leur hygiène cyber afin de les aider à rassurer leurs propres prestataires. Cependant, détenir un certificat en assurance cyber ne signifie pas qu’il faut arrêter tout effort en cybersécurité.
En cas de cyberattaque avérée, outre les réactions urgentes visant à isoler les points contaminés et à assurer la continuité de l’activité, il est indispensable de communiquer de manière transparente auprès des clients et de l’interne afin de leur permettre de réagir à leur échelle et de désamorcer de possibles paniques. Il est également recommandé aux entreprises ayant souscrit une assurance cyber de contacter leur assureur aussitôt que possible.
Une gouvernance de cybersécurité fixe l’ensemble des règles de sécurité informatique ainsi que les rôles et responsabilités des diverses parties prenantes. Elle permet de structurer l’application des principes et mesures de sécurité au sein d’une organisation.
Également appelée surface d’exposition, la surface d’attaque d’une architecture informatique désigne l’ensemble des potentielles failles de sécurité qui pourraient permettre à un cybercriminel de s’y introduire.
Sources :