Affaire Ashley Madison : Restez fidèle à vos clients, protégez-vous des cyberattaques
Le piratage du site Ashley Madison démontre une nouvelle fois les dangers des cyberattaques.
En révélant les données personnelles sensibles des utilisateurs de sites de rencontres extraconjugales, les hackers ont frappé fort. L’exposition sur la place publique d’informations censées avoir été supprimées, révèle un manque de prudence de la part d’Ashley Madison dans la gestion des données de ses clients. La réputation des utilisateurs et de l’entreprise est très fortement impactée. D’après une étude Symantec*, chaque violation de données coûterait en moyenne 3.79 millions d’euros aux entreprises.
Les entreprises doivent impérativement mettre en place des stratégies d’anticipation, des réponses pour parer à ces attaques et assurer la sécurité de leurs clients. Il existe heureusement aujourd’hui des solutions à développer pour éviter ce genre de situation. Au vu des récents piratages de plus en plus nombreux, il est vivement recommandé souscrire à une cyber-assurance. Face aux cyber attaques : grands groupes et PME sont sur un pied d’égalité. En 2014, 7 millions de PME étaient touchées par des violations de données. C’est pourquoi il est devenu indispensable pour chaque entreprise de préparer sa défense avec des moyens techniques et humains afin de limiter les conséquences des cyberattaques.
Se préparer en amont pour limiter les risques
L’entreprise doit commencer par faire un état des lieux de ses données sensibles (données clients, salariés, plans stratégiques, propriété intellectuelle, …) susceptibles d’être ciblées par les hackers. Cette phase sera suivie d’un audit technique régulier de son système IT (quantité des données, vulnérabilités, …), idéalement au moins une fois par trimestre. Ces mesures de prévention techniques permettront, en cas d’attaque, de détecter plus rapidement la source afin d’éviter sa propagation. Nous conseillons également aux entreprises de sensibiliser leurs employés aux risques de cybercriminalité et de piratage des données. Une formation des différentes équipes et du Top management réduira ainsi les risques. L’objectif est de favoriser l’assimilation de bonnes pratiques en matière de cybersécurité : sécurisation des logins et mot de passe (un conseil : changer son mot de passe tous les mois !), accès à distance, sécurisation de son propre ordinateur (BYOD- Bring Your Own Device) ou de sa clé USB en cas d’utilisation professionnelle, …
Etre réactif face à une attaque
Cependant, même avec toutes ces précautions, il n’existe pas de défense technique parfaite face à des hackers de plus en plus expérimentés. Un plan de réponse à l’incident vous permettra d’être plus réactif en cas de cyberattaque. Première priorité pour une entreprise attaquée : protéger sa réputation auprès de ses clients, pour préserver ses relations commerciales et éviter des pertes financières. Il faudra ensuite très rapidement restaurer la confiance auprès de ses actionnaires et du grand public suite à l’attaque. Certes, la priorité est de faire appel à un expert IT, afin de détecter l’origine de l’attaque, identifier les données impactées et réparer la faille. Mais il est également important de se faire accompagner :
- d’un conseiller en communication de crise, pour contrôler les conséquences de l’attaque sur la réputation (messages clés, training des portes paroles, …),
- ainsi que d’un avocat pour gérer les relations avec les régulateurs et les tiers.
Une assurance pour se protéger
Au-delà de ces mesures techniques de prévention et de gestion des cyber-attaques, les dirigeants d’entreprise disposent aujourd’hui d’un outil complémentaire de gestion du risque : l’assurance. Elle permet de préfinancer le plan de réponse à incident, pour un coût moyen de 3 % à 5 % du budget de sécurité IT d’une entreprise. Astrid Marie Pirson, Responsable de Marché Technologies / Médias / Télécoms / CyberHiscox France, nous explique la marche à suivre : « Dans la pratique, grâce à un questionnaire en amont, un courtier effectue avec l’assureur spécialiste une première analyse du risque. Elle est complétée si nécessaire par un audit technique avec un expert IT mandaté par l’assureur. En cas d’incident, si l’entreprise a souscrit une assurance adaptée, les experts IT, les avocats et les agences de communication partenaires sont mobilisés immédiatement, aux frais de l’assureur, pour déclencher le plan de réponse approprié. »
*Symantec, Cost of Data Breach 2015