Qui est concerné par la cybersécurité ?

Toutes les entreprise quelle que soit leur taille et leur secteur d’activités sont concernées par la cybersécurité. Diffuser une véritable culture de la cybersécurité dans les entreprises est même l’un des objectifs clés de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Aujourd’hui, la question n’est plus de savoir si votre entreprise va subir une cyberattaque, mais quand elle se produira. Face au risque cyber grandissant année après année, les entreprises doivent agir en pleine conscience pour prévenir et non plus guérir.

1 entreprise sur 2 victime d’une cyberattaque

• En 2021, une entreprise sur deux déclarait avoir été victime d’une cyberattaque réussie auprès de l’ANSSI.

• 43% des signalements effectuées auprès de l’ANSSI ont été effectués par des PME et des TPE (vs 26% sur la même période par les grandes entreprises).

Le phising, cyberattaque n°1

Les entreprises de toutes tailles sont confrontées au phishing (hameçonnage en français). Il représente 73 %* des attaques en 2021. Cette cyberattaque consiste à envoyer un mail ou un SMS à la victime pour l’inciter à communiquer des informations personnelles ou bancaires en usurpant l’identité d’un tiers de confiance (impôts, banques, assurance maladie…).

Quels risques pour l’entreprise ?

  1. Une cyberattaque a de multiples répercussions et ses effets sont catastrophiques : dégradation de l’image de l’entreprise, activité mis à l’arrêt, perte d’informations confidentielles, etc. Son impact financier a de quoi faire froid dans le dos…

1. Perte de chiffre d’affaires

Etre victime d’une cyberattaque, c’est voir son activité passe au point mort en quelques minutes. Vos projets en cours sont subitement arrêtés et plus vous perdez de temps, plus vous perdez d’argent. En 2021, suite à une violente cyberattaque, le constructeur français de bateaux Bénéteau a dû fermer toutes ses usines du jour au lendemain. En chiffre d’affaires, le manque à gagner a été estimé à 45 millions d’euros.

2. Interruption d’activité

Le coup d’arrêt forcé causé par une cyberattaque perturbe la production, engendre des retards de livraison, et dans certains cas peut rendre votre site web totalement indisponible sur une période significative. La cyberattaque constitue la cause d’interruption d’activité la plus redoutée par les entreprise, selon le Baromètre des risques 2022 d’Allianz. Cette peur est accentuée par l’augmentation des attaques par ransomware, mais aussi par la dépendance au numérique et au télétravail.

 

3. Fuite de données clients

L’appât du gain est la motivation première des cybercriminels qui cherchent à subtiliser les données personnelles pour ensuite les revendre sur le Dark Web. Ces données personnelles valent de l’or. L’an dernier, ce sont 40 milliards de données qui ont été piratées ou perdues, soit une hausse de 78 % par rapport à 2020. Depuis 2018, les données personnelles des clients et des collaborateurs d’une entreprise sont protégées par le Règlement général sur la protection des données (RGPD).

Le non-respect de cette loi européenne expose les entreprises à de lourdes sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. La CNIL a récemment sanctionné la société Dedalus Biologie d’une amende de 1,5 million d’euros, pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes.

Les conséquences évoquées ci-dessus ne sont qu’une partie émergée de l’iceberg. Une cyberattaque engendre des impacts à plus long terme (restauration de relations de confiance avec les clients et les parties prenantes) et la nécessité de revoir sa stratégie de sécurité informatique (augmentation du niveau de cybersécurité).

S’appuyer sur des experts pour déjouer le risque cyber

Toutes les entreprises ne disposent pas des mêmes armes pour se protéger des cyberattaques. L’absence ou l’insuffisance de mécanismes de protection est prégnante dans les PME et les TPE. Seul un tiers des TPE/PME déclare avoir un spécialiste informatique en charge de la cybersécurité dans leur entreprise, signe d’un enjeu encore peu mature. Pour près d’une PME sur 5, personne n’est spécifiquement dédié à la cybersécurité.

 

Si faire appel à une entreprise de services informatiques semble être une bonne solution, mieux vaut privilégier celles labellisées ExpertCyber, comme Voip Telecom. Le label ExpertCyber a été développé, en 2021, par Cybermalveillance.gouv.fr en partenariat avec les principaux syndicats professionnels du secteur (Fédération EBEN, Cinov Numérique, Syntec Numérique), la Fédération Française de l’Assurance (FFA) et le soutien de l’AFNOR.

Ce label est un gage de qualité pour les entreprises souhaitant se faire accompagner par des prestataires de confiance disposant :

• D’un niveau d’expertise et de compétence en cybersécurité ;

• D’un conseil de qualité pour prévenir la survenue d’autres actes de cybermalveillance et sécuriser leurs installations informatiques ;

• D’une conformité administrative (respect du cadre législatif et réglementaire, traitement des données personnelles conforme au RGPD, etc.) ;

• D’un sens de l’intérêt général (veille et remontée d’incidents, conservation de la preuve numérique, etc.).

Sources :

Baromètre de la cybersécurité des entreprises OpinionWay / Cesin Janvier 2022

Rapport Threat Landscape Retrospective 2021 de l’entreprise de cybersécurité américaine Tenable

Enquête « Les TPE/PME et la cybersécurité » Ifop pour XEFI Décembre 2021