« La menace n’est pas une fatalité » Guillaume Poupard, ANSSI

En 2021, l’ANSSI relevait en moyenne un incident par semaine dans un établissement de santé. L’attaque récente subie par l’hôpital de Corbeil-Essonnes et celle qui a frappé les institutions gouvernementales du Monténégro ne laissent aucun doute : les cybercriminels n’ont pas de scrupules. Et ils frappent là où « c’est facile ». Avec des infrastructures informatiques vieillissantes, les hôpitaux (entre autres) sont des cibles de choix. 

« C’est un travail de longue haleine qui prend parfois des mois, voire des années. Ils attendent un maximum de temps pour avoir un maximum d’emprise sur l’entreprise qu’ils attaquent. Ensuite, ils arrivent à bloquer le réseau en entier, dans son intégralité » explique Adrien Merveille, expert en cybersécurité chez Check Point.

Face à une numérisation qui progresse et à la croissance du nombre de secteurs touchés par la numérisation, l’Union européenne a décidé d’élargir le périmètre de la première directive NIS de 2016 en ajoutant à la liste des OSE de nouveaux secteurs comme l’agroalimentaire, le traitement des déchets, l’industrie pharmaceutique ou les services numériques grand public. Aves NIS 2, qui vraisemblablement verra le jour en 2024, l’UE vise le renforcement des obligations en matière de cybersécurité des entreprises et des collectivités essentielles : gestion des risques cyber, sécurisation de la chaîne d’approvisionnement, programmes de sensibilisation, notification obligatoire des incidents et encourager la divulgation des vulnérabilités… tout (ou presque ?) des priorités du volet cyber y est, pour permettre aux entreprises et aux collectivités européennes de faire face à la menace cyber.  

« Avec la directive NIS 2, le durcissement des obligations de cybersécurité décidées par l’UE vise non seulement à consolider la transformation numérique des entreprises mais aussi à faire prendre conscience de l’ampleur des attaques et de l’urgence de la situation » précise Adrien Merveille, expert cybersécurité chez Check Point.

Au-delà de vouloir faire peur, NIS 2 devrait pouvoir faire prendre conscience aux dirigeants de la nécessité d’augmenter les budgets alloués à la cybersécurité.

Et le texte prévoit un vrai régime d’obligations, y compris pour les États avec par exemple une stratégie nationale tous les 5 ans – et de sanctions (pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial). A l’UE maintenant de veiller à une transposition homogène entre les États membres si elle veut parvenir à une solidarité et coopération européenne.

« Les agences de sécurité nationales auront les moyens de réaliser des audits sur les entreprises concernées et les sanctions pourront aller jusqu’à l’interdiction d’exercer pour les dirigeants » indique Jean-Baptiste Guglielmine, expert en cybersécurité chez Cybereason.

Ne pas rester les bras croisés. Alors que les menaces informatiques se multiplient, les organisations (entreprises, institutions, associations…) doivent se tenir prêtes pour faire face aux crises d’origine cyber. Une seule solution : anticiper et s’entraîner pour ne plus subir. « Mais aussi être capable de maintenir ses activités face à une cyberattaque et réduire les impacts en cas de crise » précise Félix Aimé, expert en cybersécurité chez Sekoia.io. L’amélioration de la résilience numérique par l’entraînement à la gestion de crise est une nécessité pour toutes les organisations ». 

Au coeur de la crise, improviser n’est pas une solution. Lors d’une attaque réussie, pas le temps de paniquer ou de réfléchir trop longtemps. La moindre seconde peut faire la différence, et pour l’entreprise, cela se chiffre en centaines de milliers ou en millions d’euros de dommages. Il faut absolument disposer d’un plan de réponse aux incidents clairement défini, de procédures, de responsabilités et de contacts précis… et l’avoir testé lors d’exercices réguliers !

Enfin, la communication ne doit pas être le parent pauvre de la gestion de crise cyber, au risque que l’absence de communication, ou pire, une mauvaise communication, nuise à la confiance dans l’organisation et à sa réputation.

Félix Aimé, Sekoia.io : « Il y a ceux qui vont commettre l’attaque, il y a des développeurs qui vont créer des programmes malveillants, et un service qu’on pourrait appeler ‘service après-vente’ qui va marchander avec la victime » 

Guillaume Valadon, Quarkslab : « Le risque cyber fait partie de la gouvernance stratégique des entreprises ce qui revient pour les équipes IT, produits et métiers à plébisciter une approche offensive pour colmater les brèches, mais surtout à imaginer et donc à anticiper les nouvelles formes d’attaque”

Adrien Merveille, Check Point : « De nombreuses attaques sont automatisées, de sorte qu’elles ne sont pas nécessairement dirigées contre une entreprise en particulier. D’ailleurs, près de la moitié des cyberattaques visent les petites entreprises »

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.