Près de 118?000 cyberattaques en 2014. Et pas un jour sans que l’une d’entre elles n’explose à la Une des journaux. Même les plus grandes entreprises, pourtant sensibilisées, n’y réchappent. Rien que la semaine dernière, on apprenait le piratage informatique de TV5 Monde et de ses comptes Facebook et Twitter par des individus se revendiquant de l’organisation de l’État islamique. Et à l’heure où nous bouclons ce magazine, c’est le Canard Enchaîné qui annonce une intrusion dans le système informatique de Thalès. De son côté, Target, le géant américain de la distribution, s’est fait pirater les données bancaires de 40millions de clients fin 2013. D’autres informations dites sensibles ont été volées, telles que des noms, des adresses postales, des numéros de téléphone et des adresses email. Les dommages restent difficiles à réparer.
Conséquences? Elles sont encore difficiles à évaluer. Surtout quand on sait qu’il faut, en moyenne, plus de 200 jours aux victimes pour détecter une cyberattaque. En général, les réparations se payent. Cher. D’ici 2020, le piratage informatique pourrait même générer 2?000?milliards d’euros de pertes économiques (rapport McKinsey & Company). Des prévisions astronomiques. Qui n’épargnent pas les PME. Toutes au même niveau, les entreprises sont fragiles. Et le resteront.
Avec l’essor d’Internet, la sécurité informatique est une préoccupation latente. Sauf que depuis 5 ans, elle se durcit, pour ne plus seulement rester cantonnée sous la responsabilité du DSI. Ce sont les dirigeants, eux-mêmes, qui prennent conscience de leur vulnérabilité. Et de leur responsabilité à protéger les données qui leur sont confiées par leurs clients. Du coup, ce sont les sociétés spécialisées dans la cybersécurité qui ont du pain sur la planche. Pour convaincre. Et pousser les entreprises, marques et enseignes, à tester leur sécurité informatique de manière récurrente.
Au-delà, c’est aussi et surtout aux salariés d’être responsabilisés. La formation, en interne, ne peut plus être partielle. Apprendre à reconnaître un email frauduleux, protéger les données de l’entreprise, sécuriser ses équipements personnels et professionnels sont des impératifs. De plus en plus mobile, donc connecté, le personnel est la clé d’entrée pour pénétrer dans l’entreprise. Et l’erreur est toujours humaine. La preuve: un mail vérolé a été envoyé à tous les employés de TV5 Monde pour s’introduire dans le système d’information.
Si la meilleure défense reste l’attaque, encore faut-il avoir suffisamment de gâchettes. Égales face au risque, les entreprises sont inégales sur les ressources financières et humaines. Car déployer des solutions de protection a un coût. Archiver ses données prend du temps. Rétablir un niveau de sécurité en fonction du degré d’importance des informations, tester les outils mis en place et incorporer la cybersécurité dans le management du risque ne sont pas systématiques. Plutôt des réflexes en devenir. Nous n’en sommes, encore, qu’au début de la riposte. Mais il est temps d’accélérer le processus car plus de la moitié des entreprises qui ont été touchées par une cyberattaque ont fini par couler, deux ans après.
