{"id":10722,"date":"2019-11-04T10:00:00","date_gmt":"2019-11-04T09:00:00","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=10722"},"modified":"2019-11-04T08:01:57","modified_gmt":"2019-11-04T07:01:57","slug":"risques-cyber-lenjeu-majeur-pour-les-entreprises","status":"publish","type":"post","link":"https:\/\/www.ab-consulting.fr\/blog\/securite\/risques-cyber-lenjeu-majeur-pour-les-entreprises","title":{"rendered":"Risques cyber : l’enjeu majeur pour les entreprises"},"content":{"rendered":"\n

Dans mon article pr\u00e9c\u00e9dent je vous pr\u00e9sentais la m\u00e9thode EBIOS Risk Manager <\/a>pour g\u00e9rer les cyber-risques. Je vous propose aujourd’hui de remonter un peu vers la gouvernance. N<\/em>ous allons nous int\u00e9resser aux aspects strat\u00e9giques de la gestion des risques cyber. Dans le pass\u00e9 j’avais d\u00e9j\u00e0 abord\u00e9 cet aspect dans un article intitul\u00e9 Cyber-risques : que fait le conseil d’administration?<\/a> A l’\u00e9poque la r\u00e9ponse qui semblait s’imposer \u00e9tait simple : il ne faisait rien. Ou du moins, pas grand chose. Depuis, il semble qu’au vu du nombre d’attaques subies par les entreprises, le sujet soit un peu remont\u00e9 sur l’\u00e9chelle de criticit\u00e9 des organes de gouvernance. Cependant, le constat reste alarmant \u00e0 l’heure de la transformation num\u00e9rique de l’\u00e9conomie. Aujourd’hui les risques cyber constituent clairement un enjeu strat\u00e9gique majeur pour les entreprises. Celles qui ne le comprennent pas sont condamn\u00e9es \u00e0 mourir.<\/em><\/p><\/blockquote>\n\n\n\n

\"Risque
Cr\u00e9dit \u00a9 rawpixel.com 2019<\/figcaption><\/figure><\/div>\n\n\n\n

Le Forum Economique Mondial, dans son rapport 2019, a reconnu la cybercriminalit\u00e9<\/a> comme un risque majeur. Elle se situe dans le top 4 des risques les plus critiques. Au m\u00eame titre donc que les catastrophes naturelles et les effets du changement climatique. A raison, puisque les entreprises, des TPE aux grands groupes, ont souffert de piratages, de braquages digitaux et de violations des donn\u00e9es. En 2017, 67 % des entreprises<\/a> au niveau mondial ont fait l\u2019objet d\u2019au moins une attaque. En France, elles \u00e9taient 81%<\/a> en 2018.<\/p>\n\n\n\n

Un risque aux impacts majeurs<\/h2>\n\n\n\n

Les pertes financi\u00e8res subies par ces entreprises sont souvent tr\u00e8s \u00e9lev\u00e9es. Elles r\u00e9sultent le plus souvent d\u2019un vol pur et simple, d\u2019une interruption de leur activit\u00e9. Elles peuvent \u00e9galement r\u00e9sulter d\u2019une atteinte \u00e0 la r\u00e9putation de l’entreprise, du paiement de p\u00e9nalit\u00e9s aux clients, ou de condamnations l\u00e9gales. La CNIL a respectivement sanctionn\u00e9 la soci\u00e9t\u00e9 immobili\u00e8re SERGIC et la compagnie d’assurance ACTIVE Assurances \u00e0\u00a0400.000<\/a>\u00a0et\u00a0180.000 euros<\/a>\u00a0d\u2019amende pour non respect des exigences du RGPD et pour s\u00e9curisation insuffisante des donn\u00e9es de leurs clients et de leurs usagers. Et preuve qu\u2019une br\u00e8che dans la s\u00e9curit\u00e9 d\u2019une entreprise peut compromettre sa p\u00e9rennit\u00e9, la valorisation boursi\u00e8re de la soci\u00e9t\u00e9 de cr\u00e9dit am\u00e9ricaine Equifax a perdu\u00a04 milliards en 2017<\/a>, apr\u00e8s un gigantesque vol de donn\u00e9es personnelles affectant 143 millions d\u2019utilisateurs.<\/p>\n\n\n\n

L\u2019impact potentiel sur la r\u00e9putation et le c\u0153ur d\u2019activit\u00e9 de l\u2019entreprise font que le risque cyber n’est d\u00e9sormais plus un risque technique relevant uniquement de la responsabilit\u00e9 de votre Direction des Syst\u00e8mes d’Information. Il s’agit aujourd’hui d’un risque strat\u00e9gique majeur. C’est donc au niveau de la direction de chaque entreprise qu’il convient de g\u00e9rer ce risque. Que ce soit pour se conformer aux r\u00e9glementations telles que le\u00a0RGDP<\/a>\u00a0ou la directive europ\u00e9enne\u00a0Network and information security<\/a>\u00a0(NIS), ou encore pour r\u00e9pondre aux pressions financi\u00e8res et soci\u00e9tales, les entreprises doivent prot\u00e9ger les donn\u00e9es qu\u2019elles d\u00e9tiennent. Pour cela, elles ont l’obligation de mettre en oeuvre des dispositifs de cybers\u00e9curit\u00e9 efficaces\u00a0(chiffrement, \u00e9tanch\u00e9it\u00e9 des r\u00e9seaux, authentification etc.).<\/p>\n\n\n\n

Les cyber-criminels \u00e9voluent plus vite que vous<\/h2>\n\n\n\n

La cybercriminalit\u00e9 est un sujet complexe. Le spectre et l\u2019ampleur des activit\u00e9s malveillantes perp\u00e9tr\u00e9es par le crime organis\u00e9, les terroristes, les pirates informatiques, les hacktivistes, les concurrents et les gouvernements \u00e9voluent en permanence. Les cyber-menaces \u00e9voluent ainsi plus rapidement que toute barri\u00e8re d\u00e9fensive. En effet, les cybercriminels capitalisent en permanence sur les technologies \u00e9mergentes (big data, intelligence artificielle\u2026) ou profitent du d\u00e9veloppement du cloud. De plus, les statistiques indiquent qu’ill faut en moyenne plus de\u00a0200 jours<\/a>\u00a0pour rep\u00e9rer la pr\u00e9sence de pirates sur les r\u00e9seaux informatiques.<\/p>\n\n\n\n

Cependant, les attaques criminelles n\u2019interviennent pas par hasard. La probabilit\u00e9 de subir les cons\u00e9quences d\u2019une cyber-attaque est li\u00e9e \u00e0 la mani\u00e8re dont l\u2019entreprise se prot\u00e8ge. Les choix que l’entreprise effectue au quotidien influencent \u00e9galement cette probabilit\u00e9. Il incombe donc aux entreprises de ne pas faciliter la t\u00e2che des pirates. Pour ce faire, les organisations doivent d\u2019abord comprendre la nature et la valeur de ce qu\u2019elles prot\u00e8gent. Elles doivent ensuite conna\u00eetre le type de menaces auxquelles elles sont confront\u00e9es. Enfin elles doivent mettre en oeuvre une v\u00e9ritable strat\u00e9gie de protection. Notons que cette strat\u00e9gie doit imp\u00e9rativement inclure \u00e9galement les salari\u00e9s.<\/p>\n\n\n\n

Une strat\u00e9gie en 4 \u00e9tapes<\/h2>\n\n\n\n

Historiquement, lors de la d\u00e9finition de la strat\u00e9gie, les entreprises avaient l\u2019habitude de traiter s\u00e9par\u00e9ment la cr\u00e9ation de la valeur et la protection de la valeur. Aujourd\u2019hui, ce n\u2019est plus possible. Afin d\u2019\u00e9tablir une strat\u00e9gie et un mod\u00e8le d\u2019entreprise durables, les \u00e9quipes de direction doivent int\u00e9grer activement et syst\u00e9matiquement les pratiques li\u00e9es \u00e0 la protection et \u00e0 la d\u00e9fense au niveau strat\u00e9gique, tactique et op\u00e9rationnel.<\/p>\n\n\n\n

Je vous propose donc une strat\u00e9gie simple de gestion du risque cyber. Elle s’inspire directement des bonnes pratiques telles que la norme ISO\/IEC 27005 et\/ou de la m\u00e9thode EBIOS.<\/p>\n\n\n\n

1 – D\u00e9finir un p\u00e9rim\u00e8tre de protection<\/h3>\n\n\n\n

On peut d\u00e9finir la cybercriminalit\u00e9 comme l\u2019ensemble des infractions p\u00e9nales commises sur les r\u00e9seaux de t\u00e9l\u00e9communication, incluant Internet. Tout chef d\u2019entreprise doit donc en premier lieu comprendre le contexte interne et externe de son organisation. En d’autres termes, comment son patrimoine et ses actifs les plus vitaux sont connect\u00e9s :<\/p>\n\n\n\n