« La menace n’est pas une fatalité » Guillaume Poupard, ANSSI

La menace

  • La prise de conscience est là. Pourtant, si les entreprises ont bel et bien compris que « ça n’arrive pas qu’aux autres », pour un bon nombre d’entre elles, notamment les PME et les collectivités, par faute de moyens humains, techniques et financiers, la protection du SI demeure au second plan dans la liste des priorités. 
  • Une Europe ambitieuse. Le renforcement de l’arsenal législatif, notamment avec l’accord trouvé le 12 mai dernier autour de NIS 2, vise à renforcer la coopération entre les États membres.

Tout le monde est attaqué

En 2021, l’ANSSI relevait en moyenne un incident par semaine dans un établissement de santé. L’attaque récente subie par l’hôpital de Corbeil-Essonnes et celle qui a frappé les institutions gouvernementales du Monténégro ne laissent aucun doute : les cybercriminels n’ont pas de scrupules. Et ils frappent là où « c’est facile ». Avec des infrastructures informatiques vieillissantes, les hôpitaux (entre autres) sont des cibles de choix. 

« C’est un travail de longue haleine qui prend parfois des mois, voire des années. Ils attendent un maximum de temps pour avoir un maximum d’emprise sur l’entreprise qu’ils attaquent. Ensuite, ils arrivent à bloquer le réseau en entier, dans son intégralité » explique Adrien Merveille, expert en cybersécurité chez Check Point.

Les signaux positifs d’une Europe normative

Face à une numérisation qui progresse et à la croissance du nombre de secteurs touchés par la numérisation, l’Union européenne a décidé d’élargir le périmètre de la première directive NIS de 2016 en ajoutant à la liste des OSE de nouveaux secteurs comme l’agroalimentaire, le traitement des déchets, l’industrie pharmaceutique ou les services numériques grand public. Aves NIS 2, qui vraisemblablement verra le jour en 2024, l’UE vise le renforcement des obligations en matière de cybersécurité des entreprises et des collectivités essentielles : gestion des risques cyber, sécurisation de la chaîne d’approvisionnement, programmes de sensibilisation, notification obligatoire des incidents et encourager la divulgation des vulnérabilités… tout (ou presque ?) des priorités du volet cyber y est, pour permettre aux entreprises et aux collectivités européennes de faire face à la menace cyber.  

« Avec la directive NIS 2, le durcissement des obligations de cybersécurité décidées par l’UE vise non seulement à consolider la transformation numérique des entreprises mais aussi à faire prendre conscience de l’ampleur des attaques et de l’urgence de la situation » précise Adrien Merveille, expert cybersécurité chez Check Point.

Au-delà de vouloir faire peur, NIS 2 devrait pouvoir faire prendre conscience aux dirigeants de la nécessité d’augmenter les budgets alloués à la cybersécurité.

Et le texte prévoit un vrai régime d’obligations, y compris pour les États avec par exemple une stratégie nationale tous les 5 ans – et de sanctions (pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial). A l’UE maintenant de veiller à une transposition homogène entre les États membres si elle veut parvenir à une solidarité et coopération européenne.

« Les agences de sécurité nationales auront les moyens de réaliser des audits sur les entreprises concernées et les sanctions pourront aller jusqu’à l’interdiction d’exercer pour les dirigeants » indique Jean-Baptiste Guglielmine, expert en cybersécurité chez Cybereason.

Face au double risque de la sanction et de la cyberattaque, anticiper et s’entraîner deviennent les maître-mots

Ne pas rester les bras croisés. Alors que les menaces informatiques se multiplient, les organisations (entreprises, institutions, associations…) doivent se tenir prêtes pour faire face aux crises d’origine cyber. Une seule solution : anticiper et s’entraîner pour ne plus subir. « Mais aussi être capable de maintenir ses activités face à une cyberattaque et réduire les impacts en cas de crise » précise Félix Aimé, expert en cybersécurité chez Sekoia.io. L’amélioration de la résilience numérique par l’entraînement à la gestion de crise est une nécessité pour toutes les organisations ». 

Au coeur de la crise, improviser n’est pas une solution. Lors d’une attaque réussie, pas le temps de paniquer ou de réfléchir trop longtemps. La moindre seconde peut faire la différence, et pour l’entreprise, cela se chiffre en centaines de milliers ou en millions d’euros de dommages. Il faut absolument disposer d’un plan de réponse aux incidents clairement défini, de procédures, de responsabilités et de contacts précis… et l’avoir testé lors d’exercices réguliers !

Enfin, la communication ne doit pas être le parent pauvre de la gestion de crise cyber, au risque que l’absence de communication, ou pire, une mauvaise communication, nuise à la confiance dans l’organisation et à sa réputation.

Le point de vue des experts cyber

Félix Aimé, Sekoia.io « Il y a ceux qui vont commettre l’attaque, il y a des développeurs qui vont créer des programmes malveillants, et un service qu’on pourrait appeler ‘service après-vente’ qui va marchander avec la victime » 

Guillaume Valadon, Quarkslab « Le risque cyber fait partie de la gouvernance stratégique des entreprises ce qui revient pour les équipes IT, produits et métiers à plébisciter une approche offensive pour colmater les brèches, mais surtout à imaginer et donc à anticiper les nouvelles formes d’attaque”

Adrien Merveille, Check Point « De nombreuses attaques sont automatisées, de sorte qu’elles ne sont pas nécessairement dirigées contre une entreprise en particulier. D’ailleurs, près de la moitié des cyberattaques visent les petites entreprises »

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.

Partager cet article

Nos billets d’humeur les plus lus

A l’ère du deepfake politique, nos démocraties sont-elles en danger ?

Utilisée par les candidats pour mener leur campagne, ou pour déstabiliser un adversaire,…

Comment réinventer la cybersécurité à l’ère de l’IA ?

Jeux Olympiques, élections... 2024 : une actualité favorable à l'accélération de l’IA.……

Cyber security copywriter : Comment réussir son copywriting en cybersécurité ?

Cyber security copywriter : Comment réussir son copywriting en cybersécurité ?

Sur le marché, de multiples éditeurs et intégrateurs se livrent une véritable bataille…