Cyber-criminalité en forte hausse
La cyber-criminalité ne cesse d'augmenter sans qu'un ralentissement ne soit en vue. Face à cette tendance, les enjeux de cyber-sécurité deviennent vitaux pour les entreprises. Quelles sont les cibles ? PME , ETI ... Pourquoi tout le monde est concerné ? Comment se protéger contre ces attaques ? Nous vous livrons 6 mesures de cyber sécurité à mettre en place.
Les entreprises de toute taille doivent se préparer à une attaque et doivent prendre des mesures pour se protéger. En 2018, le nombre d'atteintes à la sécurité des données a grimpé de plus de 140 % par rapport à l'année précédente, pour atteindre 3,3 milliards de données compromises dans le monde, rapporte Gemalto, une société internationale de sécurité des données.
80 % des violations des données personnelles proviennent d’attaques provenant de l'extérieur de l’entreprise. Le vol de données continue d'être la principale atteinte à la protection des données, mais les incidents liés à l'accès à des données financières se développent de plus en plus.
Les logiciels malveillants de toutes sortes prolifèrent, logiciels plus ou moins évolués dans leur conception. Cette prolifération est alimentée par le Dark Web où il est devenu de plus en simple pour des personnes malintentionnées de se procurer un malware ou un rançongiciel…
En parallèle à cette cyber délinquance apparaissent des réseaux très organisés de cyber criminels aux moyens humains et financiers très importants qui ne cessent d’innover et de développer des logiciels capables d’échapper à la détection traditionnelle des anti-malware du marché et de pénétrer des systèmes de défense élaborés.
Qui est visé par la cyber-criminalité ?
LES ETI cibles des cyber-criminels
Les entreprises de taille intermédiaire (ETI) sont de plus en plus ciblées, parce que considérées comme une cible aussi attrayante que les grandes entreprises et surtout plus faciles à attaquer. Selon une étude réalisée par CISCO en 2018 (SMB Cybersecurity Report 2018), 53% des entreprises de taille moyenne dans 26 pays ont connu une violation de leurs données personnelles.
Pour ces entreprises, les principales préoccupations en matière de sécurité sont les attaques par « Phishing » ciblées contre les employés, les menaces persistantes avancées, les rançongiciels, les attaques par déni de service et enfin la prolifération des employés qui utilisent leurs propres appareils mobiles pour un usage professionnel.
Les PME également fortement touchées
En France, 77 % des cyber attaques concernent les petites et moyennes entreprises…
Personne n’en parle, aucun chef d’entreprise ne se sent concerné, pensant son entreprise trop petite pour intéresser un cyber criminel… C’est en partie vrai dans le sens où l’entreprise ne fait pas l’objet d’une attaque ciblée mais est trop souvent l’objet d’attaque de masse véhiculées notamment par les emails ou de vulnérabilités imputables à un manque de rigueur dans les mises à jour.
Pour les petites et moyennes entreprises, une violation du système d’information avec une atteinte aux données personnelles dans près de 60 % des cas, met l’entreprise en péril / faillite. Il faut y trouver l’explication dans les conséquences financières de la cyber attaque et les conséquences sur l’image/ la réputation de l’entreprise.
Toujours selon le rapport sur la cyber-sécurité des PME réalisé par CISCO, 54 % des cyber attaques aux Etats Unis causent des dommages financiers dépassant les 500 000 $. En France peu de chiffres officiels circulent mais selon certains chiffres communiqués par des compagnies d’assurance, le coût financier d’une cyber attaque est d’environ 300 000 € pour une petite PME, chiffres en augmentation notamment en raison de l’impact financier des obligations liées au RGPD (frais de notification notamment). En ce qui concerne les ETI, les conséquences financières d’une cyber attaque sévère peuvent rapidement approcher voire dépasser le millions d’euros (impact image, frais informatiques, frais juridiques, pertes d’exploitation, frais de notification RGPD, mise en cause le recours de la RC Cyber).
Comment se protéger contre ces attaques ?
Les PME n'ont souvent pas la maturité, les ressources, le budget et les technologies informatiques nécessaires pour prévenir, découvrir et réagir en cas de cyber attaque.
Comme on pouvait s'y attendre, il n'existe pas de solution facile pour prévenir les atteintes à la protection des données. Mais toutes les entreprises, en particulier les petites et moyennes entreprises, peuvent devenir mieux préparées et plus aptes à se protéger contre la cybercriminalité.
6 mesures de cyber-sécurité à mettre en place
1. Effectuez un audit de vos pratiques internes.
Analysez vos pratiques internes en termes de cyber gouvernance, en vous appuyant sur les publications mis en ligne par l’ANSSI et outils disponibles sur le marché qui vous permettent de réaliser un cyber diagnostic. Ces outils vous permettront d’identifier les principales faiblesses au niveau de votre gouvernance pour lesquelles vous pourrez de manière simple mettre en place les correctifs. Vérifiez notamment la politique de mots de passe, la mise à jour régulière des anti-virus et logiciels ainsi que la gestion des codes utilisateurs.
2. Découvrez dans quelle mesure votre réseau et vos autres systèmes de sécurité sont sécurisés, où se trouvent les vulnérabilités et comment les résoudre.
Si vous songez à souscrire une assurance cyber pour vous protéger contre les risques cyber et attaques par ransomware (l'assurance qui connaît actuellement la croissance la plus rapide), en vous adressant à un assureur spécialisé sur ce type d’assurance (il en existe quelques un en France, comme CYBER COVER pour ne citer que lui) , vous pourrez être dirigé vers des prestataires qui pourront vous aider dans cette démarche.
3. Assurez-vous d'avoir un système de sauvegarde adéquat.
C’est un point clé qui garantit la capacité de votre entreprise à redémarrer rapidement son système d’information. Testez régulièrement vos sauvegardes en demandant à votre prestataire de réaliser un test de réinstallation à blanc.
4. Examinez tous les points d'entrée dans votre système et considérez où ils sont vulnérables.
Il s'agit notamment de tous vos postes de travail, appareils de communication et appareils mobiles, ainsi que des cartes d'accès des employés, de l'Internet et des caméras.
5. Évaluez les menaces qui pèsent sur votre système d’information, vos données sensibles.
Il s'agit notamment des listes de clients, des mots de passe, des journaux de données, des sauvegardes et des courriels. Vérifiez les habilitations et conditions d’accès au système d’information, y compris les clients et les fournisseurs.
6. Mettre en place un système de prévention pour vous défendre contre les intrusions.
Mettez-vous à la place du cyber-attaquant et réfléchissez aux moyens possibles par lesquels l'attaquant pourrait accéder à votre système et voler vos données. Si vos équipes informatiques en interne n'ont pas assez d'expérience pour traiter ce sujet, faites appel à un prestataire extérieur qui vous accompagnera dans la mise en place du système de prévention.
ETI et PME : la cyber assurance en complément d’une démarche de cyber-sécurité.
La cyber assurance attire de plus en plus les PME et ETI qui voient dans l’assurance un moyen de transférer une partie du cyber risque résiduel à moindre coût.
Le marché global de la cyber assurance connait une croissance forte avec un marché mondial estimé à 3,5 milliards de dollars en 2018, marché qui devrait doubler d’ici 2020 selon Munich Ré géant allemand de la cyber assurance.
La cyber assurance reste accessible en terme de pricing et de conditions d’accès. Un contrat d’assurance cyber doit être envisagé en complément d’investissement de cyber sécurité.
ETI et cyber-assurance
Les ETI doivent trouver dans leur stratégie de cyber-sécurité le bon équilibre entre des investissements en cyber sécurité et la mise en place d’une bonne couverture d'assurance cyber. Trouver le bon contrat d'assurance cyber peut s'avérer difficile, car pour de nombreuses entreprises de taille intermédiaires (ETI), agents et courtiers ne savent toujours pas comment estimer correctement les impacts financiers d’une violation du système d’information. Les contrats de cyber assurance offrent des disparités fortes d’une compagnie d’assurance à une autre qui justifient de faire appel à un courtier en assurance spécialisé sur ce type de risque. Ce dernier vous accompagnera dans l’audit de vos risques, la mesure du risque financier, la proposition de solutions d’assurance cyber mais également de protection cyber, ces deux éléments étant étroitement liés. Un courtier spécialisé en cyber assurance sera à même de prendre en considération les mesures de cyber sécurité prises afin de tarifer uniquement le risque résiduel.
PME et cyber assurance
Les PME doivent concentrer leurs investissements en cyber sécurité à la protection des données sensibles, mettre en place une bonne politique de sauvegarde des données, adopter une saine gourvernance. et mettre en place un contrat d'assurance cyber. Un courtier en assurance spécialisé sur ce type de risque pourra vous conseiller et vous aider sur les questions de gouvernance et sur le choix d'un bon contrat.
En conclusion
Les petites et moyennes entreprises font face à une réglementation plus stricte (RGPD) qui donne de nouvelles obligations aux entreprises en termes de protection des données.
Les ETI prennent conscience petit à petit des réelles menaces que représentent les risques cyber, augmentant les dépenses consacrées à la cyber-sécurité.
Globalement les entreprises semblent comprendre le message Cyber sécurité mais pas assez vite, en ce qui concerne les petites et moyennes entreprises.
Avec la recrudescence continue des atteintes à la sécurité informatique, il est clair que toutes les entreprises de toute taille doivent améliorer leur sécurité informatique en incluant un programme d’assurance cyber sur mesure. Cyber assurance et cyber-sécurité sont étroitement liées. La mise en place d’une étude préalable à la mise en place d’un contrat d’assurance cyber par un spécialiste vous permettra d’identifier les axes de travail prioritaires à mettre en place en ce qui concerne votre cyber sécurité.