7 min

Le cyber stress du dirigeant n’est pas une fatalité

C’est une profusion d’études qui aura en 2022 décerné au cyber risque le trophée malheureux de la plus grande menace pour les entreprises. Si l’on comprend aisément que les questions de cybersécurité, au cœur des préoccupations des dirigeants, soient génératrices d’anxiété, ce cyber-stress n’est cependant pas une fatalité. Voici quelques réflexes à adopter pour diminuer la pression… et les risques.

Cyber risques - Maurice Benzaquen - 20 septembre 2022

Dans un contexte global marqué par la pandémie de Covid-19, les changements climatiques, la guerre en Ukraine et l’incertitude économique, les menaces pesant sur les entreprises ne semblent pas manquer. Pourtant, si l’on en croit les dirigeants, le risque numéro 1 pour leur business est ailleurs : il s’agit des cyber menaces !

C’est ce que mettent en lumière de nombreuses études récentes – baromètre mondial des risques 2022 AGCS, PwC Global CEO Survey, cartographie des risques 2022 de France Assureurs… – dans lesquelles dirigeants français et internationaux pointent du doigt les risques cyber comme principale source d’appréhension. Voici plusieurs leviers pour s’en prémunir et réduire le cyber-stress.

Cyber-risques, une anxiété justifiée

 55 % des dirigeants français interrogés par PwC craignent les cyberattaques. Et ils ont raison d’être inquiets : les ransomwares, pour ne citer qu’eux, ont infecté en 2021 81 % des entreprises tricolores, plus que les sept autres pays interrogés par Proofpoint1. Parmi elles, 56 % ont dû payer une ou plusieurs rançons pour tenter de résoudre l’attaque, soit 128 000 euros en moyenne par entreprise selon Anozr Way. Plus globalement, le baromètre annuel du CESIN note que « l’ampleur et la virulence des attaques ne cesse d’augmenter », alors même que nous dépendons plus que jamais des technologies numériques pour (télé)travailler ensemble, consommer, échanger… Autrement dit, les cyberattaques n’ont jamais eu un tel potentiel de nuisance.

Toujours d’après le CESIN, le phishing demeure la forme la plus courante (73 %), suivie par l’exploitation des failles de sécurité (53 %). On observe également une hausse des attaques par rebond via un prestataire (21 %) : elles consistent à attaquer une cible de manière indirecte, en passant par son écosystème de sous-traitants ou de fournisseurs pour exploiter ses failles de sécurité.

La virulence en hausse des cyberattaques est également illustrée par une évolution des ransomwares, qui s’appuient de plus en plus souvent sur une stratégie pernicieuse de double extorsion : cette pratique consiste à demander une rançon en échange des données volées, tout en menaçant de les rendre publiques. Autre facteur aggravant, l’émergence des plateformes de ransomware-as-a-service (RaaS) et la multiplication des franchises de ransomware.

En France, les TPE, PME et ETI, moins préparées à se défendre contre cette menace, sont des cibles de choix des ransomwares. Elles représentaient 34 % des victimes en 2021 (+53 % par rapport à l’année précédente), suivies par les collectivités (19 %) et les entreprises stratégiques (10 %). 

De l’urgence impérative de réduire les risques

Rappeler ou instaurer les bonnes pratiques

La nécessité de faire face aux risques cyber est réelle, en particulier alors que l’on constate une « professionnalisation des acteurs malveillants », dixit l’Anssi. 

Pour favoriser une prise de conscience et installer, de manière pérenne, des bonnes pratiques informatiques dans l’entreprise, la mise en œuvre d’une charte informatique est un excellent outil. Une telle charte va permettre de réglementer l’utilisation des systèmes d’information et de partager les bonnes pratiques informatiques au sein de l’entreprise.

La charte informatique formalise en effet les règles de sécurité essentielles à l’activité quotidienne, parmi lesquelles on pourrait citer en vrac : 

  • ne pas transmettre ses mots de passe à un tiers ;
  • ne pas utiliser ses mots de passe professionnels dans la sphère privée (et inversement) ;
  • ne pas laisser son poste de travail sans surveillance ;
  • ne pas transférer de données sensibles par simple email, etc.

Autre atout majeur d’une charte informatique, sa double fonction, puisqu’elle est à la fois un outil de sensibilisation des collaborateurs et un instrument juridique qui détaille les sanctions associées au non-respect des règles. Concrètement, la charte permettra par exemple de détailler précisément le process à suivre pour partager des données en prenant en compte à la fois leur degré de confidentialité et l’identité du destinataire, mais également d’expliquer pourquoi un tel process est mis en place, pour enfin indiquer les sanctions encourues en cas de non-respect du protocole. Car en effet, la formalisation d’une Charte visant à sensibiliser les salariés ne suffit pas. Pour être utile, l’employeur doit s’assurer qu’elle sera respectée.

Pour la mettre en application, il pourra par exemple déployer des dispositifs de contrôle automatisé des systèmes d’information : attention cependant, dans ce cas, les salariés doivent impérativement être informés de leur mise en œuvre et de leur usage.

Cet encadrement des cyber-pratiques des collaborateurs est essentiel car ceux-ci constituent la source principale des failles de sécurité de l’entreprise. En décembre 2020, l’Anssi mettait le doigt sur les principales faiblesses exploitées par les cybercriminels : « le manque de sensibilisation aux risques cyber, l’absence de maîtrise des systèmes d’information, le non-respect des mesures d’hygiène informatique, la pénurie d’experts en cybersécurité et, dans une certaine mesure, l’augmentation de la surface d’attaque du fait de la généralisation du télétravail ». Une liste confirmant le poids du facteur humain. Or, il existe des solutions simples pour le cadrer : choisir des mots de passe robustes, généraliser l’identification multifactorielle, faire preuve de prudence face aux courriels non sollicités… Malheureusement, celles-ci sont encore trop souvent ignorées…

Il suffit, pour s’en convaincre, de jeter un œil sur les mots de passe les plus utilisés en 2022. « 123456 » prend la tête du « podium » un peu partout dans le monde, tandis qu’en France la seconde place est tenue par « azerty ». Le classement accueille également un nouveau parangon de sécurité dans son top 10 : « doudou » !

Les autres pays ne font guère mieux : les équivalents locaux de « bonjour » et « mot de passe » jouissent d’une belle popularité dans le monde anglo-saxon alors que les noms de clubs de football sont très prisés en Italie et en Croatie… 

Des pratiques prêtant à sourire, autant qu’elles alarment, car même si elles relèvent en partie de la sphère privée, elles trahissent néanmoins chez le grand public une absence manifeste des plus basiques réflexes en matière de responsabilité numérique.

À lire également : Décidément, les Français sont-ils vraiment irresponsables en matière de risque cyber ? 

Le facteur humain ne pouvant être totalement dissipé, il existe heureusement d’autres leviers pour protéger l’entreprise, notamment les services d’experts.

Confier sa cyberdéfense à des partenaires experts

Face à des cybercriminels toujours plus inventifs et néfastes, maintenir le plus haut niveau de cybersécurité peut être une gageure.

Dans ce contexte mouvant et anxiogène, il peut être salutaire de se tourner vers des spécialistes, en s’appuyant par exemple sur des solutions SaaS. Le recours à des logiciels en ligne permet aux entreprises d’avoir la garantie que leurs données et leurs capacités de traitement seront protégées en tout temps au sein d’une installation distante dédiée, hautement sécurisée et redondée.

S’assurer d’être toujours à la pointe de la technologie est en effet l’un des impératifs des grands éditeurs de logiciels en ligne : ceux-ci ont noué des partenariats avec les leaders mondiaux de l’hébergement, comme Microsoft et Amazon Web Services (AWS). Des accords stratégiques dans le but d’offrir des services à leurs clients toujours plus performants, à la fois en matière de flexibilité (scalabilité) que de fiabilité, de simplicité d’utilisation et évidemment de sécurité.

L’intérêt d’une solution SaaS réside également dans son coût mesuré, car les charges de construction et de maintenance sont mutualisées entre tous les utilisateurs. Ainsi, contrairement à une configuration on premise qui demande un investissement structurel important, chaque entreprise optant pour le mode SaaS n’a qu’à acquitter un abonnement mensuel forfaitaire. 

Enfin, l’éventail des solutions SaaS à disposition des entreprises est vaste : comptabilité, facturation, paie, RH, ERP… Il est ainsi aisé de couvrir leurs besoins à 360° et de permettre au dirigeant et à ses équipes de se recentrer sur leur core business.

Les cybermalveillances sont en forte hausse, c’est un fait. Dans un monde qui se digitalise de plus en plus fortement, cette tendance n’est pas près de s’inverser, mais les décideurs ne sont pas démunis contre les cyber-risques : en déployant consignes et règles de sécurité informatique, en impulsant un changement de paradigme culturel faisant de la cybersécurité l’affaire de tous, mais aussi en s’appuyant sur les moyens et la technologie de partenaires experts, ils seront alors armés pour faire face à cette menace, aujourd’hui comme demain.    

(1) La France devant l’Allemagne, l’Australie, l’Espagne, les États-Unis, le Japon et le Royaume-Uni.

Pour aller plus loin, découvrez le guide Sage : Cyber-sécurité : quand la menace se sophistique, la réponse doit se mettre à niveau

Partager cet article avec un ami