Cyber-criminalité : Quelques enseignements du FIC 2016
Forum international de la Cyber-sécurité 2016: Plus de vigilance, plus de réglementations pour les entreprises. Le marché de la cyber sécurité est en pleine croissance. En 2012, il représentait 850 millions de dollars dans le monde, en 2014 on l’évaluait à 2,5 milliards de dollars. En octobre dernier, le cabinet PricewaterhouseCoopers révélait que les cyber-attaques contre les entreprises avaient progressé de 51 % en France, occasionnant des pertes financières estimées à 3,7 millions d’euros en moyenne par entreprise victime d'attaque. Les cyber-menaces continuent donc à se multiplier, et ce alors même que de nouvelles réglementations, toujours plus contraignantes, entrent en vigueur chaque année. Entretien avec notre responsable Data Risk, Astrid-Marie Pirson, pour tout comprendre de ces cyber-attaques et de ces nouvelles « cyber-mesures ».
Qu’est-ce que la nouvelle réglementation GDPR mise en place par l’Union Européenne ?
Face aux risques que peuvent engendrer les cybers attaques, l’Union Européenne est en train de créer un socle réglementaire dans le but d’unifier et de simplifier la protection des données personnelles dans les 28 pays qui la composent. Ce GDPR, « General Data Protection Régulation », qui devrait entrer en vigueur très prochainement, concerne toutes les organisations collectant, stockant, traitant et partageant les données personnelles d'employés, de clients ou de partenaires. Les entreprises, les administrations, les associations devront donc faire évoluer significativement leurs pratiques pour se se conformer à ces nouvelles normes. Le projet de GDPR est très strict, et prévoit des pénalités financières beaucoup plus importantes qu’aujourd’hui, qui peuvent aller jusqu'à 2 % du chiffre d'affaires mondial annuel de l’entreprise. Cette nouvelle réglementation aura aussi le mérite de clarifier les règles pour mieux accompagner les entreprises et protéger les individus, notamment grâce :
- À la mise ne place d’un guichet unique : les entreprises traiteront avec une seule autorité de contrôle, ce qui leur permettra d’économiser quelque 2,3 milliards d’euros par an.
- A la règle « Un continent, un droit » : le règlement établira un corpus unique de règles, il sera donc plus simple et moins coûteux pour les entreprises d'exercer leurs activités au sein de l’UE ;
- Au droit à la portabilité des données : il sera plus facile pour les individus de faire transférer leurs données personnelles d'un prestataire de services à un autre ;
- A la clarification du « droit à l’oubli » : lorsqu'un individu ne souhaite plus que ses données personnelles soient traitées, et si aucun motif légitime ne justifie leur conservation, ces données seront supprimées ;
- A la généralisation du droit d'être informé en cas d'accès non autorisé à ses données personnelles : l’obligation de notification systématique qui pèse actuellement sur les opérateurs de communication sera élargi à toutes les entreprises.
Quels types d’entreprise sont les plus ciblés par les cyber-attaques ?
Les PME font partie des entreprises les plus ciblées par les piratages. Mauvaise maîtrise de l’informatique, faible niveau de protection technique, externalisation des services IT… – elles ont de nombreux points faibles en matière de cyber sécurité. Peu ou mal protégées, elles représentent aussi une porte d’entrée facile pour les hackers vers de plus gros partenaires et clients, qui peuvent avoir des volumes de données plus importants ou intéressants. Selon une étude réalisée par Symantec, 77% des cybers attaques ayant touchées la France en 2014 ont ciblé des PME… Les grosses entreprises sont quant à elles plus difficiles à attaquer, mais les pertes qu’elles subissent sont souvent plus sérieuses : vols de grandes quantités de données pouvant être revendues sur le marché noir ou à la concurrence, mauvaise publicité liée à la médiatisation de l’affaire, pertes d’exploitation…
Quelles sont les principales conséquences pour une entreprise attaquée ?
Le patrimoine de l’entreprise qui subit une cyber-attaque pourra être dégradé de diverses manières : données copiées, modifiées, endommagées, détruites ou encore utilisées à des fins malveillantes, interruption totale des ventes impactant directement le chiffre d’affaires, déréférencement du site internet, perte de confiance des actionnaires et investisseurs… Les relations avec les partenaires commerciaux et les clients seront aussi affectées. Le préjudice est particulièrement sévère au niveau de la réputation de l’entreprise, car elle sera souvent considérée comme responsable de la faille de sécurité de son système d’information. Par exemple, lors du piratage de PlayStation Sony en 2011, la presse du monde entier a évoqué les « millions de victimes de Sony » et non les « millions d’abonnés Sony victimes des cyber-pirates ». La cyber-attaque peut donc entrainer une perte de confiance de tous vos interlocuteurs, aussi bien partenaires que clients.
Quel genre de cyber crimes sont les plus courants ?
Trois types de modes opératoires reviennent régulièrement dans les affaires de cyber-attaques :
- L’attaque par déni de service, qui consiste à rendre un site inaccessible aux usagers normaux en le bombardant de requêtes simultanées.
- Le vol de données permettant d’usurper par la suite les identités civiles ou postales d’individus.
- L’extorsion, c’est-à-dire la menace de cryptage ou de divulgation des données d’une entreprise à défaut du paiement d’une rançon.
Beaucoup de fraudes viennent de l’interne, que ce soit volontairement ou involontairement. Comment éduquer les employés à plus de cyber sécurité ?
La formation des équipes au quotidien est indispensable pour réduire le nombre d’erreurs internes. Organisez des formations régulières auprès de vos employés pour leur enseigner les bonnes pratiques en matière de sécurité sur internet, en matière de gestion des accès, de construction de mots de passe… En plus des risques de cyber attaques, vous pouvez également les former aux risques liés à la e-réputation sur Internet et les réseaux sociaux,.
En cas d’attaque, que faire ?
En premier lieu, il est important de protéger sa réputation auprès des clients, de restaurer la confiance des actionnaires et du grand public, mais aussi de maintenir son chiffre d’affaires prévisionnel et éviter des pertes financières non provisionnées. Pour ce faire, l’entreprise doit faire appel à un expert IT qui aura pour mission de faire un état des lieux (origine de l’attaque, données impactées, réparation de la faille, upgrade du système), à un spécialiste de la communication de crise et à un avocat pour gérer les relations avec les régulateurs et les tiers. Maîtriser sa communication est également fondamental pour sauver son image après une attaque :
- Demandez à vos employés de faire preuve d’une prudence accrue en ce qui concerne les appels et les visiteurs.
- Toutes les requêtes des médias doivent être transmises à votre chargé de relations presse.
- Donnez pour instruction à vos collaborateurs de ne rien divulguer de la crise traversée par votre entreprise sur les médias sociaux.
- L’implication forte de la direction générale de l’entreprise en cas d’incident est cruciale.
Comment prévenir une cyber-attaque et se protéger ?
Il existe des techniques simples et gratuites pour se protéger contre les attaques : choisir avec soin ses mots de passe, mettre à jour régulièrement ses logiciels, bien connaître ses utilisateurs et ses prestataires… Mais aucune mesure ne peut garantir que l’entreprise ne se fera pas attaquer – il est donc important de compléter protection technique et formation par un transfert du risque financier que court l’entreprise vers un assureur spécialiste, comme Hiscox, qui les protégera contre les atteintes à leurs systèmes d’information et à leurs données sensibles et à caractère personnel. Être bien assuré contre le cyber-risque constitue aujourd’hui une vraie valeur ajoutée pour les entreprises, une véritable tranquillité d’esprit pour leurs dirigeants, et leur permet un préfinancement de leur plan de réponse à incident, ainsi que l’accès à un panel d’experts reconnus en cas de sinistre.