RSE
Cybersécurité, le temps de penser système
05/02/2021
Procédés industriels, flux financiers, propriété intellectuelle, secret des affaires, données produits, fonctionnement des logiciels de gestion intégrée… : où se situent les principaux enjeux et les plus fréquents risques pour les entreprises face à la cybercriminalité ?
Fabien Autrel : Le problème de la cybersécurité fait partie du quotidien des entreprises. L’utilisation de l’outil numérique dans les divers processus a explosé ces vingt dernières années ainsi que l’utilisation du Nuage et la monétisation des données. On peut dire que la cybersécurité s’est imposée dans la stratégie globale d’une entreprise, dans un monde désormais ultra et interconnecté. Les données sont mobiles de même que les applications exécutées sur smartphones, tablettes, ordinateurs portables. La complexité des infrastructures et des systèmes d’information (Cloud, réseaux hybrides, virtualisation, outils collaboratifs) augmente la surface d’attaque.
La chaîne d’approvisionnement, avec une kyrielle de sous-traitants de l’amont à l’aval, est-elle particulièrement exposée ? Et de façon plus générale les interfaces d’échanges d’information interentreprises ?
F. A. : Effectivement, quand une entreprise réfléchit à la cybersécurité, le plus souvent il est question de sécuriser son réseau informatique, ses logiciels et ses données. Mais la chaîne d’approvisionnement, qui peut concerner des biens matériels comme des données, est aussi confrontée aux risques.
Un critère primordial dans le choix des fournisseurs
La perte de données et les intrusions via les entreprises tierces sont un nouveau problème. Alors que la plupart des entreprises s’efforcent toujours de sécuriser leurs propres réseaux, données et utilisateurs, la prévention des attaques ciblant des partenaires commerciaux ou incorporant des informations précédemment volées ajoute une couche de complexité. Souvent, les entreprises ont de vastes réseaux de fournisseurs et de partenaires, souvent petits, des cibles plus faciles pour les pirates lorsque la cible principale a déjà déployé un programme de sécurité en interne.
Que peut-on faire pour se défendre ? D’une part, les entreprises doivent changer leur façon de voir la sécurité. Comme l’illustrent nombre d’attaques, la sécurité de l’information n’est plus un effort interne, mais doit être prise en compte dans l’ensemble du réseau commercial d’une entreprise, en amont et en aval de la chaîne d’approvisionnement. Toute entité avec laquelle une entreprise fait affaire peut la rendre vulnérable. Par conséquent, les entreprises doivent faire de la sécurité un critère primordial lors du choix des partenaires et des fournisseurs avec lesquels elles font affaire.
L’enjeu réputationnel est-il bien appréhendé ?
F. A. : La façon dont une entreprise gère une violation de données a un impact direct sur sa réputation. Selon une étude IDC, 80 % des consommateurs des pays développés délaisseraient une entreprise si leurs informations étaient compromises par une faille de sécurité. Les entreprises doivent également s’inquiéter des réseaux des clients directement concernés : selon Interactions Marketing, 85 % des consommateurs en ligne parlent de leur expérience aux autres, un tiers d’entre eux utilisent les réseaux sociaux quand ils ont à se plaindre, et, 20 % font des commentaires directement sur le site du commerçant. Une étude américaine indique aussi que le niveau de confiance en une entreprise après un vol de données est corrélé à l’âge : la génération des millennials serait celle qui a le moins confiance après un incident de sécurité.
Dix-huit millions de sites infectés :chaque semaine
Quand un dispositif numérique supplée l’homme pour contrôler la quantité d’un silo, la recette d’un produit, sa qualité, détecter la présence d’un allergène, peut-il être facilement détourné ?
F. A. : La fameuse attaque Stuxnet (contre l’Iran, NDLR), dont le ver informatique a été découvert en 2010, a montré qu’il est possible de modifier le comportement d’un processus industriel sans que les personnes chargées de sa supervision s’en rendent compte. À partir du moment ou un attaquant a accès au réseau interne d’une entreprise, et plus précisément au réseau opérationnel sur lequel les automates qui contrôlent un processus industriel sont connectés, il peut être en mesure de modifier le comportement du processus. Beaucoup de variables entrent en jeu dans le succès d’une telle attaque : l’architecture du réseau, les composants de sécurité utilisés, les vulnérabilités présentes dans le système, le niveau de compétence de l’équipe chargée de la sécurité, etc.
Entre virus informatiques et vols de données, quelles sont les attaques les plus fréquentes ?
F. A. : Il n’y a pas de distinction tranchée à faire entre les deux. Un virus informatique est caractérisé par le fait qu’il peut se répliquer en utilisant divers mécanismes. Il est plus judicieux de parler de logiciels malveillants, ces attaques étant de différents types. Le nombre d’infections par logiciels malveillants est à la hausse depuis dix ans : 12,4 millions en 2009, 812,7 millions en 2018. Dans 92 % des cas ils sont envoyés par courriel. Ceux visant les téléphones mobiles étaient en hausse de 54 % en 2018. En 2020, ceux visant MacOS ont augmenté de 165 % . Il s’en produit 230 000 nouveaux échantillons chaque jour, et cela ne fera que croître. Les détections de logiciels malveillants dans les entreprises avaient augmenté de 79 % en 2018 par rapport à 2017, et 90 % des institutions financières avaient été ciblées. Plus de dix-huit millions de sites sont infectés par des logiciels malveillants à un moment donné chaque semaine. Dans un tiers des cas, les entreprises touchées mettent une semaine ou plus pour recouvrer l’accès à leurs données.
L’arrivée de la 5 G constitue-t-elle une extension du risque ?
F. A. : La 5G va permettre une interconnexion plus poussée entre les systèmes, des volumes de données échangés plus grands, la multiplication des objets connectés, donc une surface d’attaque plus importante.
Dans l’univers des PGC, un secteur est-il plus touché que d’autres ?
F. A. : Je n’ai pas de statistiques précises sur le sujet. Les secteurs les plus touchés restent les établissements bancaires et financiers, le commerce en ligne et la santé. Étant donné que les systèmes d’information des établissements bancaires et financiers hébergent les numéros de cartes bancaires et les coordonnées de leurs clients, ils sont une cible de choix. Une enquête Accenture montre que les banques font face à 85 tentatives de cyberattaques par an, dont un tiers réussit. En proposant leurs produits et leurs services en ligne, les commerçants deviennent plus vulnérables aux attaques, et exposent les données de leurs clients. En 2014, le spécialiste américain du bricolage Home Depot s’était fait pirater les données de cinquante millions de cartes de crédit, et a dû ensuite verser 19,5 millions de dollars à ses clients.
Les IAA, cibles de “pros”
Les PME sont-elles plus fragiles que les grands groupes ? Ou moins exposées ?
F. A. : D’après A2com, seulement 17 % des PME ont souscrit un contrat d’assurance spécifique contre les cyber-attaques, alors que quatre sur dix ont déjà subi une ou plusieurs attaques. Malgré la progression de la cybercriminalité, les dépenses en cybersécurité ne devraient augmenter que de 9 % par an et par entreprise d’ici à 2023.
Les PME adaptent leur modèle pour qu’il soit davantage associé au Cloud, à l’instar des grandes entreprises. Mais les infractions sont deux fois plus fréquentes dans les grandes. Selon Verizon les PME découvrent les infractions plus rapidement que les grandes entreprises, qui peuvent mettre des mois, voire des années, à le faire.
Les enjeux sanitaires exposent-ils particulièrement les entreprises agroalimentaires ?
F. A. : D’après Robert Wakim, de la société Stormshield, qui produit des pare-feu industriels, les cyberattaquants qui visent l’industrie agroalimentaire sont d’un haut niveau, des « groupes de pirates bien coordonnés, voire une organisation mafieuse ou étatique ». Ils peuvent perturber la continuité de service, miner la confiance des consommateurs, freiner l’innovation. Là où il y avait un humain qui contrôlait à l’œil, c’est une machine qui veille. Si on dérègle suffisamment le capteur de mesure d’un silo, on peut lui faire remonter de mauvaises informations sur la quantité de blé qu’il contient…
Et c’est l’engrenage : un silo que l’on pense vide provoque une réduction de la production, le temps que la commande de blé arrive, mais comme il ne l’est pas il empêche des livraisons puisque le camion qui ne peut pas décharger repart à plein et ne peut pas poursuivre sa tournée. A contrario, à cause d’un silo que l’on pense plein à tort, les machines peuvent se trouver à tourner à vide et se dégrader, à risquer la surchauffe et un blocage de toute la chaîne. Résultats : pertes sèches de revenus, et perte de réputation. Sans parler des attaques permettant de prendre le contrôle des automates pour modifier les recettes ou la qualité d’un produit : on peut modifier une sonde en la rendant incapable de détecter un allergène ou un produit nocif… Les cyberattaquants peuvent aussi tirer profit des spéculations boursières sur les valeurs alimentaires ou les matières premières.
Le petit cadenas vert dans la barre d’adresse
Le travail à distance offre-t-il plus opportunités d’attaques ?
F. A. : D’après une étude SFAM, seulement 24 % des Français sont équipés par leur entreprise d’un smartphone et d’un ordinateur pour télétravailler. La grande majorité de ceux qui travaillent à distance utilisent leur propre matériel, ce qui soulève d’importants défis en matière de protection des personnes et des actifs informatiques. Un ordinateur utilisé par toute la famille est plus susceptible d’être infecté par des logiciels malveillants entraînant pertes, vols et séquestration (chiffrement) de données. Une étude Censuswide indique que 93 % des organisations françaises ont enregistré une hausse des cyberattaques depuis le début de la pandémie Covid-19.
Et avec l’essor de la vente en ligne ?
F. A. : La pandémie a accéléré la transition vers un monde plus numérique. L’Agence de l’UE pour la cybersécurité (Enisa) recommande aux particuliers de faire attention au sceau de sécurité de chaque site Web sur lequel on navigue, en recherchant la présence du petit cadenas vert dans la barre d’adresse. Il signifie en général que la connexion est établie via un canal sécurisé. Il faut se méfier des faux sites Web (il y a eu augmentation de l’enregistrement de domaines qui contiennent le mot « Corona », utilisé par les cybercriminels), se défier des courriels demandant de vérifier ou de renouveler des informations d’identification, même s’ils semblent provenir d’une source fiable.
Aux entreprises, l’agence recommande de protéger à la fois elles et leurs clients, par exemple en utilisant des connexions https et en activant l’authentification à deux facteurs lorsque cela est possible. De plus, il est important de tester la sécurité d’un site, et d’assurer une assistance adéquate aux clients en cas de problème. Comme tout autre actif, les informations doivent être gérées et protégées de manière stratégique. Il est nécessaire de stocker les mots de passe en totale sécurité, si les clients doivent créer des comptes pour acheter sur le site Web…
Mauvaise variable d’ajustement
Comment évolue le coût d’une cyberprotection efficace ?
F. A. : Les dépenses moyennes consacrées à la cybercriminalité augmentent considérablement à mesure que de plus en plus de cadres et de décideurs prennent conscience de la valeur et de l’importance des investissements dans la cybersécurité. Les coûts associés peuvent être paralysants pour les entreprises qui n’ont pas intégré la cybersécurité à leur budget ordinaire. Selon Cisco la moitié des entreprises de plus de dix mille employés dépensent un million de dollars ou plus par an pour la sécurité, et seulement 7 % moins de 250 000 dollars. Le coût des dommages augmente, pourtant selon Mckinsey 70% des responsables de la sécurité estiment que leur budget pour l’exercice 2021 va diminuer.
La cybersécurité ne doit-elle pas être un enjeu partagé par tous les salariés ?
F. A. : Tout à fait : si les employés ne savent pas comment reconnaître une menace de sécurité, comment s’attendre à ce qu’ils l’évitent, la signalent ou la suppriment ? Ils ne peuvent pas. L’enquête sur l’état de la sécurité informatique de 2019 a révélé que la sécurité des courriels et la formation des employés figuraient parmi les principaux problèmes rencontrés par les professionnels de la sécurité informatique. Pourtant, un tiers des employés interrogés par Wombat Security Technologies ne savaient même pas ce que sont l’hameçonnage ou les logiciels malveillants. Pour qu’ils puissent détecter et prévenir les failles de sécurité, ils doivent avoir une formation de base.
La cybersécurité est-elle une composante de la responsabilité sociale des entreprises ?
F. A. : Effectivement, se concentrer sur la sécurité est une responsabilité sociale que chaque entreprise doit assumer pour protéger ses consommateurs et ses données, au bénéfice de tous. Selon certains travaux, les consommateurs attendent des marques que leurs priorités incluent la protection de la société et le bien-être individuel. Pour répondre à ces attentes dans un monde axé sur les données, les entreprises doivent ajouter la cybersécurité à leur liste d’initiatives RSE. Afficher de bonnes pratiques de cybersécurité est déjà une pierre angulaire du modèle commercial, mais cela doit également faire partie du programme social.