Face à la hausse du nombre de cyberattaques, l’avènement d’une hygiène de sécurité partagée au sein des organisations apparaît indispensable. De plus en plus d’entreprises, d’ailleurs, semblent avoir compris que l’anticipation du risque est centrale pour limiter les attaques.
Va-t-il planer sur l’élection présidentielle française des soupçons d’espionnage électronique, comme en 2017 ? Dans son « Panorama de la menace informatique », l’Agence nationale de la sécurité des systèmes d’information (ANSSI) souligne en tout cas que les cyberattaques, en forte hausse depuis un an, sont amenées à se multiplier à court terme. Entre 2020 et 2021, dans un contexte de « démocratisation des usages numériques », le nombre d’intrusions avérées signalées à l’agence a augmenté de 37 % (passant de 786 à 1 082). Soit près de 3 attaques par jour en moyenne.
La confiance pour se protéger du risque cyber
« Ce panorama met en lumière une menace complexe, professionnelle, aux intentions hétérogènes et en perpétuelle évolution », affirme Guillaume Poupard, le directeur général de l’ANSSI, qui préconise, à l’aune de l’élection présidentielle et des tensions internationales – en Ukraine, notamment –, une « responsabilisation » et une « vigilance accrue ». De la part des États et des formations politiques, bien sûr. Mais également des acteurs économiques vulnérables, comme les TPE, PME et ETI, qui représentent selon le panorama 34 % des victimes en 2021 (en hausse de +53 % par rapport à 2020).
Or, qui dit piratage informatique, pour ces structures, dit bien souvent pertes financières importantes. D’après une enquête réalisée par Bessé en partenariat avec PwC France, avec, également, Guy-Philippe Goldstein, chercheur et spécialiste des questions de cyberdéfense, la valeur patrimoniale des entreprises les moins réactives, après une cyberattaque, et les moins bien préparées, enregistre une perte de 10 à 20 %, dans le pire des cas. Après un an, selon l’enquête, les sociétés peuvent pâtir d’une perte de confiance, et, par conséquent, d’une perte structurelle.
Faut-il pour autant se passer du digital, lorsqu’on est entrepreneur à la tête d’une petite structure ? La réponse, alors qu’Internet a investi une très grande majorité des foyers, ne fait pas trop débat : les enjeux liés à la cyber-sécurité ne doivent pas être un frein à la digitalisation des entreprises. C’est ce qu’estime Sage, l’un des leaders européens de solutions de gestion pour faciliter le quotidien des entreprises. Dans un manifeste publié en prévision des élections présidentielles, Sage plaide en ce sens pour une nouvelle donne de confiance numérique, afin que les entrepreneurs puissent continuer de surfer sur la vague de digitalisation qui a suivi l’arrivée du Covid-19 et des premières mesures restrictives. « Nous avons voulu que ce manifeste soit une contribution concrète et positive.» souligne Pacôme Lesage, Président de Sage France et Europe du Sud.
Et l’entreprise de proposer que la partie dévolue à la cyber-sécurité du plan « France Relance », bâti en pleine crise du coronavirus pour faire repartir l’économie française, soit musclée. L’idée ? Que les objectifs arrêtés par l’exécutif (un chiffre d’affaires de 25 milliards d’euros pour la filière cybersécurité à l’horizon 2025) soient agrémentés d’autres ambitions à plus court terme, ainsi qu’à plus long terme.
Anticipation
Mieux encadrer la stratégie nationale liée à la défense digitale des entreprises, alors que, selon l’ANSSI, les cyberattaques sont amenées à se multiplier dans les prochaines années, apparaît indispensable. Non seulement d’un point de vue microéconomique – le numérique fait partie intégrante de la vie des consommateurs, et les PME ont tout intérêt à investir le champ digital pour gagner en parts de marché –, mais également d’un point de vue macroéconomique – le nombre d’emplois dans la cybersécurité pourrait passer de 37 000 à 75 000 d’ici 2025.
Et comment mieux se défendre contre un danger à la réalisation plus que probable qu’en… l’anticipant ? Un grand nombre d’acteurs du secteur de la cybersécurité estime que l’enjeu central, dorénavant, pour les PME – les autres entreprises n’étant pas épargnées –, est de prévoir le « risque cyber ». « Le problème de la cyberattaque, ce n’est pas de savoir si je vais l’être, mais quand », prévient ainsi Nathalie Malicet, présidente de la Commission prospective et innovation de la Compagnie nationale des commissaires aux comptes.
Pour cette dernière, les entrepreneurs doivent absolument être en mesure de se prémunir contre toute faille de leur système, grâce à une réponse à la fois technologique et stratégique (formation, sensibilisation, surveillance, etc.). « Tout se joue dans l’anticipation du risque, c’est pour ça qu’on parle de cyber-résilience », affirme-t-elle. L’ANSSI, d’ailleurs, recommande aux organisations de rester vigilantes, et de mettre en place différentes mesures pour protéger leur système d’information. Celles-ci peuvent aller de la protection des données contre la fraude et le dysfonctionnement à la conformité aux dispositions réglementaires, évidemment, en passant par tout type de garde-fou pour prévenir l’erreur d’utilisation.
Et, preuve que le sujet commence à être pris au sérieux par les entrepreneurs, nombre d’entre eux souhaitent augmenter leurs investissements en vue de la sensibilisation de leurs équipes. Selon une enquête menée par IDC, à la demande du cabinet de conseil mc2i, spécialisé dans la transformation numérique, plus d’une entreprise sur deux compte ainsi attirer l’attention de ses collaborateurs sur le sujet cyber. Par ailleurs, 70 % des structures sollicitées ont annoncé avoir augmenté leurs dépenses de cybersécurité en 2021 – elles n’étaient « que » 45 % l’année d’avant. Une tendance à la hausse qui se vérifiera en 2022, normalement, puisque le budget alloué à la sécurité digitale devrait atteindre 4,7 milliards d’euros, contre 4,3 milliards en 2021.