En étant bien formé, l’humain peut devenir le maillon fort de la cyberdéfense

Avec la digitalisation très rapide de l’économie et l’explosion des objets connectés, de nouveaux cyber-risques vont faire leur apparition. Pour s’en protéger, les entreprises seront contraintes de partager leurs informations sur la nature des attaques qu’elles subissent et devront mieux former leurs collaborateurs.

Pour la majorité des entreprises, la cybersécurité reste l’une des inquiétudes majeures lorsqu’elles lancent de nouveaux projets numériques. Selon l’étude « PwC 2019 Risk in Review Study », 51 % des personnes interrogées l’identifient comme leur principale préoccupation, loin devant les risques opérationnels, technologiques ou les questions de confidentialité.
Ce pourcentage continuera de s’accroitre avec la digitalisation très rapide de l’économie. Corollaire de ce développement, les cyberattaques se multiplieront à la même vitesse. Les entreprises devront redoubler d’efforts pour s’en protéger efficacement.
D’autant que de nouveaux cyber-risques feront leur apparition avec l’interconnexion croissante des entreprises, mais aussi avec le développement des objets connectés. En effet, on estime qu’en 2020, 200 milliards d’appareils connectés existeront sur Terre : smartphones, pacemakers, ascenseurs et même des brosses à dents.
Les cyber-risques sont multiples et évoluent rapidement, ceux d’aujourd’hui ne sont pas ceux de demain. Ils peuvent relever de l’ingénierie sociale, des virus informatiques ou de la fuite de données.

Quels sont les risques les plus aigus liés aux projets numériques de votre organisation ?

Source : PwC 2019 Global Risk, Internal Audit and Compliance Survey

Pour 51 % des personnes interrogées, la cybersécurité est identifiée comme leur principale préoccupation lorsqu’elles lancent de nouveaux projets numériques, loin devant les risques opérationnels, technologiques ou les questions de confidentialité.

La confiance numérique des clients est primordiale

Les cyberattaques n’ont qu’une constante, elles sont protéiformes. À chaque année, son type - ainsi, en 2017, les « logiciels rançonneurs » du type WannaCry, des logiciels malveillants qui chiffrent les données personnelles et ne les déchiffrent que contre le paiement d’une rançon, ont occupé le devant de l’actualité. Récemment, le cryptojacking, qui consiste à faire miner de la cryptomonnaie à des internautes à leur insu, s’est illustré. L’arnaque au président, dans laquelle les hackers se font passer pour le président de l’entreprise et exigent la remise d’une somme, continue à faire des victimes tous les ans.

Les risques financiers et règlementaires sont certes importants pour les entreprises. En effet, en plus du préjudice, le nouveau règlement général sur la protection des données (RGPD) européen prévoit des amendes qui peuvent atteindre jusqu’à 4 % du chiffre d’affaires global. Google a récemment dû payer plusieurs millions. Pourtant, pour une entreprise, le risque de réputation dépasse largement le montant versé. Il remet en cause un élément fondamental : la confiance des clients. Le dégât d’image tend à occuper une place toujours plus prépondérante. Les banques, elles, ont compris l’importance de protéger leurs infrastructures informatiques et de les maintenir à jour. Leur niveau de sécurité compte parmi les plus élevés. En revanche, certaines entreprises veulent mettre des produits et services digitaux toujours plus rapidement sur le marché, sans prendre le temps d’effectuer les tests de sécurité requis. C’est pourtant primordial ! La transformation digitale d’une entreprise doit s’accompagner de la confiance numérique de ses clients. Sans elle, la société risquerait de disparaître.

Le partage d’informations est vital

En raison de ces possibles conséquences, les entreprises qui ont subi une attaque tentent de le dissimuler. Or, c’est justement en les divulguant, en partageant leur mode opératoire avec le plus grand nombre, qu’il est possible de les circonscrire et de limiter leur propagation. D’ailleurs, la collaboration avec les autorités et le partage d’un maximum d’informations sur les cyberattaques permettent d’anticiper les menaces futures. Jusqu’à présent, les entreprises étaient réticentes à les communiquer. Elles en avaient honte. Il est encourageant de voir que l’Europe à travers le RGPD exige désormais qu’elles signalent les cyberincidents vécus et que la Confédération en examine l’obligation à travers sa « Stratégie nationale de protection de la Suisse contre les cyber-risques 2018–2022 ». Cela renforce la sécurité de tous. Il s’agit donc de transformer les mentalités au sein des entreprises pour le bien de tout l’écosystème économique. Si un magasin se fait voler, un particulier cambrioler ou une banque braquer, il est évident que les victimes vont aller porter plainte et faire connaître leur cas. Ce même état d’esprit est nécessaire dans le cas de cyberattaques. Le partage d’informations est vital. Toutes les entreprises vont subir un jour ou l’autre une cyberattaque. Elles ne doivent plus se demander si elles vont se faire attaquer, mais plutôt quand. C’est pourquoi il est capital de former l’ensemble des collaborateurs et de la direction à la cybersécurité, mais également de lancer des exercices grandeur nature pour entraîner la réaction des équipes de sécurité et de la direction aux cyberattaques.

La formation des collaborateurs est essentielle

Avec la diffusion de l’information, la formation est donc l’autre élément essentiel dans la lutte contre les cyberattaques. En effet, dans cette guerre, le maillon faible est souvent l’humain. La technologie joue son rôle de rempart, mais les employés, en raison d’un manque de formation, ne peuvent les empêcher. Les entreprises ont massivement investi dans la technologie pour se protéger des cyberattaques. Elles ont construit des murs toujours plus hauts et toujours plus épais. Cette stratégie se solde par un échec, car les employés ne sont pas assez formés. Cependant, en les éduquant suffisamment, ils deviennent le dernier rempart. Ils ont ce qu’une machine n’aura jamais, l’intuition. En étant bien préparé, l’humain peut devenir le maillon fort de la cyberdéfense.

En complément à l’éducation, il est primordial, pour minimiser les risques d’attaques informatiques, d’associer les responsables de la sécurité et de la protection des données dès le lancement d’un nouveau projet de digitalisation. Cela permet d’anticiper les risques et d’éviter des failles de sécurité. Ce n’est pourtant pas encore suffisamment le cas. Notre étude annuelle sur la cybersécurité « The journey to digital trust - Digital Trust Insights October 2018 » le démontre. Elle compile les réponses de 3000 personnes dans le monde. Nous y voyons que les entreprises pourraient mieux faire. En effet, seulement 54 % d’entre elles impliquent des experts dès le début. De leur côté, les responsables de la sécurité et de la protection des données doivent devenir des facilitateurs et quitter leur réputation de « nein sager » qui refusent tout. Eux aussi doivent évoluer.

La vulnérabilité d’une société se mesure en testant trois domaines : l’humain, la technologie et les environnements de contrôle. Chez PwC, nous explorons la capacité de l’entreprise à se défendre en organisant une analyse des cyber-risques pertinente, en effectuant des tests de pénétration des systèmes informatiques et, finalement, en lançant des campagnes d’hameçonnage pour tester la réaction des employés. La cybersécurité d’une entreprise passe par un mélange éclairé de technologies, de processus et de compétences humaines, sans qu’aucun de ces éléments soit négligé.