Cybersécurité : l’affaire de tous !

Selon Statista, environ 319,6 milliards d’e-mails étaient envoyés et reçus chaque jour en 2021. Ce chiffre devrait dépasser 376,4 milliards en 2025. Et le marché mondial du commerce électronique atteindra 5 400 milliards de dollars de revenus d’ici fin 2022, contre 4 500 milliards de dollars en 2021.

Du secteur de l’immobilier à celui de la distribution en passant par ceux de la restauration, de la finance ou de l’éducation, nous aurions gagné plusieurs années quant à la transformation digitale de nos activités. Outils de travail collaboratifs, digitalisation des process, développement des interfaces fournisseurs, vente en ligne… Les atouts sont indéniables pour les entreprises et les institutions afin de répondre aux enjeux actuels et à venir.

Ce fort développement de notre vie digitale s’accompagne d’une vulnérabilité de nos systèmes. Encore en retrait pour protéger nos organisations, nous ne traitons pas ce risque au niveau où il devrait l’être. Pourtant, les chiffres sont là : en 2021, une grande entreprise sur deux déclarait avoir été victime d’une cyberattaque réussie auprès de l’Anssi^[2].

La crise sanitaire a créé un terrain fertile aux cyberattaques et les entreprises portent désormais une attention particulière à la cybersécurité. Surtout qu’en 2022, la menace est à nouveau ravivée par le conflit russo-ukrainien. Ces derniers mois en France, c’est le secteur de la santé qui est visé, des hackers réclamaient une rançon de plus d’un million d’euros à un hôpital après avoir dérobé des numéros de sécurité sociale et des RIB qu’ils menaçaient autrement de divulguer.

Ces événements nous alertent sur les risques auxquels sont soumises toutes nos organisations et l’actualité s’en fait le relai : rançonnage, vol de données… La multiplication des actions malveillantes, de plus en plus perfectionnées, doit nous conduire à traiter ce risque comme nous traitons la sécurité incendie de nos locaux ou la protection de nos collaborateurs en intervention.

En effet, c’est bien l’humain qu’il faut replacer au centre de nos systèmes : 95 % des incidents de cybersécurité découlent d’une erreur humaine^[3]. C’est le comportement de nous tous (collaborateurs, sous-traitants sur nos sites, fournisseurs connectés à nos interfaces…) qui est en cause. Souvent par des actions du quotidien : faiblesse des mots de passe ou installation de logiciels non approuvés sur un PC professionnel. Toutes ces actions sont autant de failles possibles. Il faut que nos organisations agissent : diagnostic, plan d’actions, formation-implémentation sur la base de normes de références (ISO 27001, IEC 62443, Ebios, ISO 26262), et suivi des actions.

Il s’agit de mettre nos organisations au niveau, face à un risque jugé pratiquement inévitable et dont le coût et les conséquences en termes de perte d’exploitation et de confiance peuvent être dramatiques. Nous devons adopter des bonnes pratiques numériques.

Pour commencer : former nos collaborateurs. Chez Bureau Veritas, nous faisons régulièrement des actions de sensibilisation au phishing auprès de l’ensemble de nos collaborateurs en France et dans le monde et nous leur proposons des formations sur les bonnes pratiques à mettre en œuvre dans leur quotidien. Nous pensons que la cybersécurité est l’affaire de tous.

Au cœur du système, les responsables RSSE et DSI doivent être les promoteurs de ces actions et s’assurer de l’efficience de notre organisation au regard de sa sécurité numérique. Là aussi, nous devons porter nos exigences au plus haut niveau. Même si cela n’empêche pas à 100 % une attaque, les mesures en place permettent de fortement limiter son impact.

Nous l’avons vécu chez Bureau Veritas, fin 2021. Les actions prises en amont ont permis d’endiguer l’attaque cyber dont nous avons été victimes, en quelques semaines. Un résultat obtenu  grâce à la très forte mobilisation des équipes. Aujourd’hui, cette crise nous permet de nous adresser avec encore plus de pertinence et d’empathie à nos clients quand nous évoquons avec eux nos services en matière de cybersécurité. Plan de continuité d’activité, gestion de crise, communication interne et externe, ciselage de nos systèmes IT pour poursuivre nos activités de manière séquencée…

Forts de notre expérience interne et des prestations chez nos clients, nous sommes convaincus que la protection contre la cybercriminalité concerne tous les acteurs de l’entreprise et doit être traitée comme un risque du quotidien. L’impact peut être dramatique à tous les niveaux : plusieurs semaines d’inactivité pour les entreprises concernées, perte de chiffre d’affaires ou encore de confiance de la part des clients et des collaborateurs…

L’ensemble des dispositifs de cybersécurité doivent désormais constituer « le système immunitaire des entreprises » : il en va aujourd’hui de leur santé, voire sans paraître alarmiste, de leur survie. Nous ne pouvons pas continuer de penser la cybersécurité comme un accessoire. La place qu’elle a prise ces dernières années est au contraire en train de l’imposer comme un élément structurant. Dans notre mission d’entreprises de service Business to Business to Society, nous développons des solutions pour contribuer à plus de résilience des entreprises face aux problématiques Cyber.