Le fournisseur de logiciels Ca Technologies a publié un livre blanc sur les entreprises face à la cybercriminalité dont s'inspire une tribune rédigée par Laure Lavorel, sa directrice juridique Europe du Sud.
3000 milliards de dollars ! c’est ce que pourrait nous coûter la cybercriminalité d’ici à 2020 selon le Forum économique mondial qui estime à plus de 400 milliards de dollars le montant du butin dérobé en 2014. Le mode opératoire pour les actes les plus marquants se traduit par des extorsions, chantages et usurpation d’identité.
« Mais ils masquent également d’autres incidents moins médiatiques mais tout aussi dommageables pour les entreprises et les organisations, tels que les dénis de services, le blocage de sites ou la saturation de serveurs », fait savoir dans une tribune Laure Lavorel, directrice juridique Europe du Sud chez CA Technologies, fournisseur de logiciels pour aider les entreprises à opérer leur transformation numérique.
De nombreuses entreprises ont déjà saisi l’ampleur du risque mais ce n’est pas le cas de toutes. « Ainsi, 47% d’entre elles n’ont encore jamais réalisé d’analyse de sécurité de leur système d’information (SI). Dans le même temps, 25 % des entreprises européennes auraient déjà fait l’objet d’un vol de données. », soulève la directrice juridique de CA Technologies qui a publié en un livre blanc consacré aux cyber-risques.
« Pour les entreprises les plus impliquées, les cabinets d’avocats et les départements juridiques élaborent des réponses et constituent des preuves pour poursuivre un cyber-crime… ou se retourner contre un sous-traitant. La responsabilité est aussi un risque. »
Risque pénal pour les dirigeants. Le parapluie de l’arsenal juridique protège, mais impose en retour une obligation aux organisations de protéger leurs données. La question est brûlante pour les entreprises. « Les dirigeants risquent pénalement 5 ans de prison et 300 000 euros d’amende pour une douzaine de délits, dont la négligence ou non-déclaration d’un incident de sécurité », rappelle Laure Lavorel.
L’internet, le cloud et les terminaux mobiles ont rendu mouvant le périmètre des entreprises et imposent une politique de sécurité, et en premier lieu, une cartographie des risques. La notion d’accountability – soit la capacité à démontrer la mise en place de procédures pour anticiper et gérer les incidents – s’impose en matière de stratégie de sécurité à mi-chemin entre politique de qualité et culture du risque.
Pour autant, des solutions existent pour éliminer 80% des cyberrisques. Les SI doivent garantir des environnements de qualité avec des logiciels et des applications bien développés, sans bogues, qui sont autant de failles de sécurité potentielles.
Les métiers et le juridique doivent vérifier et négocier en amont de chaque contrat que les obligations de sécurité sont respectées. Enfin, un audit régulier des prestataires devient une priorité. Les directions orchestrent le tout et définissent des procédures de sécurité en veillant à ce qu’elles soient intégrées dans les pratiques et les consciences au quotidien.
Reste aussi à informer, sensibiliser, former les salariés sachant que 90% des incidents de sécurité sont d’origine humaine et ne mettent pas en cause l’environnement technique. Dans les entreprises, des solutions techniques légères existent pour sécuriser les pratiques telles que la gestion des identités, l’automatisation de création de comptes avec des autorisations paramétrées ou l’anonymisation des bases de données.
Mais l’adhésion de tous à la sécurisation des environnements électroniques va devenir un thème récurrent de communication interne et de formation. L’hygiène informatique doit s’imposer dans les esprits comme l’ont compris les autorités européennes en lançant le Mois européen de la cyber-sécurité qui a lieu chaque année en octobre.
Une certitude pour les années à venir : les cyber-risques et les cyber-crimes iront croissant, tout comme la détermination des acteurs publics et privés à lutter contre le phénomène. Le succès de l’économie numérique est à ce prix. Mais seule une culture du risque et de la prévention sera à même de protéger durablement les organisations, les entreprises et les utilisateurs. « >La sécurité est une valeur d’avenir, et qui saura la garantir en tirera les bénéfices ».
E.K.
Commentez