A l’ère où les nouvelles technologies sont indissociables du fonctionnement de nombreuses entreprises, les risques de cyber-attaques se multiplient et mettent en danger la pérennité de ces dernières.
Le Cloud, les objets connectés, le Big Data ou les nouvelles pratiques de plus en plus courantes comme le « BYOB » (Bring Your Own Device) font partie des nombreux éléments de la transition numérique qui bouleversent les habitudes et pratiques des entreprises.
D’après une étude menée par Deloitte, la transformation digitale est l’un des 3 enjeux prioritaires pour près de 58% des entreprises ; cette transition ne pourra s’opérer sans sécurité adaptée à un environnement digital dont les risques de failles ne cessent de s’intensifier.
Des risques non négligeables
Les risques sont importants : depuis 2013, des cyberattaques provenant d’un groupe nommé « Carbanak » ont ciblé plus de 100 banques dans 30 pays différents (la France y compris), occasionnant des pertes estimées à près de 883 millions d’euros, après une autre attaque sous le pseudonyme de « Anunak », chiffrée à 15 millions d’euros.
Mais les banques ne sont pas les seules cibles de ces cybercriminels, de nombreuses entreprises et administrations sont concernées.
Google, Microsoft, Adobe, Areva, le Ministère de l’Economie, Boeing, Thales, Airbus, Evernote, eBay, la BCE, Forbes, Schneider Electric … (Liste non exhaustive.) Tous ont été, ces dernières années, victimes de cyberattaques.
Lors du Forum International sur la cybercriminalité (FIC), qui se tenait à Lille au mois de janvier, Bruno Le Roux, Jean-Yves le Drian et autres responsables de haut rang décrivaient Internet comme un « champ de bataille perpétuel ». Jean-Yves le Drian évoquait alors « une menace pour la vie démocratique » , avec « une évolution des menaces avec l’utilisation de cyber-attaques par des Etats ou d’autres groupes structurés politiquement, à des fins d’influence ».
Une pénurie de profils qualifiés
Selon une étude de l’ISACA (Information Systems Audit and Control Association), moins de 25% des candidats à des potes dans la cyber-sécurité disposent des qualifications nécessaires au poste, dans près de 4 recrutements sur 10.
L’association parle même de « pénurie mondiale » de profils adaptés aux besoins des entreprises en cybersécurité.
En France, sur 6000 postes ouverts en 2016, seulement 1200 auraient été pourvus, selon l’Agence Nationale de la Sécurité des Systèmes d’Information.
Se prémunir contre les cyber-attaques
Les accompagnements, attestations et certifications SOC2, PCI-DSS, ISAE3402 et ISO2700X sont autant de dispositifs qui permettent de se prémunir contre d’éventuelles failles et de garantir un niveau de sécurité adéquat pour le fonctionnement des nouveaux services proposés par l’entreprise. L’intégration de ces derniers points devient de plus en plus pris en compte par les fournisseurs Cloud.
Une approche secure by design est également primordiale pour se prémunir du mieux possible des cyber-attaques. Dès les premières étapes de mise en œuvre d’un nouveau service (plateforme d’échanges entre clients et fournisseurs par exemple), les modèles et Framework utilisés ainsi l’architecture proposée doivent minimiser les impacts et réduire la possibilité de réaliser des actions malveillantes.
Une obligation réglementaire ayant désormais été introduite, l’enjeu de la cyber-sécurité doit dorénavant être suivi de près par l’entreprise, avec une gouvernance clairement définie, en lien avec la stratégie de l’entreprise et en accord avec la réglementation en vigueur. Cette conformité permettra aux entreprises de se prémunir de sanctions financières importantes, en plus de se protéger de cyber-attaques et autres tentatives de phishing.
Ces exemples d’attaques, études et autres chiffres sont autant d’exemples révélateurs de l’importance et de l’enjeu considérable que représente aujourd’hui la cyber-sécurité, tant dans le monde de l’entreprise que dans nos vies personnelles.
Dès lors, il devient difficile d’ignorer l’impact que pourrait avoir la destruction d’infrastructures web, le vol d’informations détenues par des entreprises ou la perte d’une propriété intellectuelle.
La prochaine fois, pensez-y à deux fois avant d’ouvrir votre Dropbox sur le réseau wifi du McDo ou de regarder vos mails au Starbucks du coin …
Sources :