La Cybersecurite, nouveau risque métier par Anne Doré : 29 avril 2021

Anne a été à bonne école chez IBM pendant 12 ans et on peut dire qu’elle est tombée dans la marmite de la cybersécurité et s’est lancée dans la création de son entreprise en début d’année.

Résilience dans l’entreprise, tout un rôle pour un dirigeant d’entreprise, la cybersécurité doit être gérée dans le top 3 des priorités managériales de l’entreprise.

Exemple d’un grand groupe d’assurance : le PDG Monde parle de la cybersécurité dans tous les évènements auxquels il assiste. Il fait de l’insistance mondiale en permanence auprès de ses collaborateurs.
La presse économique s’adresse de plus en plus aux dirigeants sur la cybersécurité. Conséquence : pas une crise économique sans risque de Cyber attaque, voire même un risque de cyber-pandémie.

Comment s’y préparer ?

Le risque de cyber-pandémie va nous arriver.
L’année 2020 a été sujette à un risque exponentiel avec les nouveaux mode de travail (le télétravail est un gros facteur à risque). Le personnel n’est pas prêt ; conséquence le risque cyber est démultiplié et nul n’est à l’abri.
Le trafic de drogue rapporte désormais beaucoup moins que la cybercriminalité ; risque facilité par le Darknet (plateformes utilisant des protocoles spécifiques et qui louent des outils pour attaquer des cibles et blanchir de l’argent). Le retour sur investissement est plus intéressant et le risque d’être attrapé reste très faible.

Comment je valorise ce risque métier ?

• Investissement,
• Coût assurance.

Quelle que soit l’entreprise, quel que soit le métier, nous serons attaqués à un moment donné.

Les 4 Types de risques Cyber
1/ Cybercrime – espionnage très haut risque
2/ CyberEspionnage – industriel /un savoir faire
3/ CyberReputation
4/ CyberSabotage (exemple politique = intrusion)

Les enjeux sont :

• humains (piratage des hôpitaux, d’un réseau de l’eau, protection des salariés, etc),
• industriels,
• réputationnels,
• financiers,
• économiques.

Les quatre types d’attaquants :

• les individus (exemple : étudiants),
• des groupes para-étatiques (ex.: comment déstabiliser des elections = attaque de puissance).
• des Hactivistes (ex. cameras de surveillance d’un abattoir piratées par des hackers pour diffuser de fausses images sur les RS et faire de la mauvaise publicité) = attaque ciblée et courte,
• la Cybercriminalité qui dispose désormais de moyens exponentiels pour viser de façon massive.

Aujourd’hui le dirigeant se doit d’être vigilant sur le risque cyber et doit anticiper, sachant que le risque Zéro n’existe pas. Les dirigeants sont des proies pour les hackers car ils détiennent des données sensibles et donc intéressent les hackers. Un risque cyber entraîne un risque dirigeant et les attaques sont de plus en plus sophistiquées.

Il faut donc définir et mettre en place une approche 360 de la cybersécurité :

• impact sur la technologie (mot de passe solides, bonnes pratiques des mises à jour…..). 5% minimum du budget informatique devrait être consacré à la cybersécurité.
• Impact sur l’organisation : l’entreprise doit anticiper et doit être résiliente.
• Impact sur la culture d’entreprise : sensibilisation des collaborateurs. (70% des collaborateurs d’une entreprise ne sont pas prêts. 90% des attaques proviennent d’erreurs humaines).
• Impact sur l’éco système,.
• Impact juridique : RGPD/ se soumettre à des contraintes juridiques.

En conclusion, il est primordial de considérer la cybersécurité comme une valeur ajoutée et une protection de votre business, car une Cyber Attaque est un Business… de plus en plus florissant.

Stéphanie Quantrell-Park