Quelles mesures pour limiter l'exposition au risque cyber de l'entreprise ?

Article

  • digital
  • fraude

Les cyber menaces vis-à-vis des entreprises ne cessent de croitre mais aussi de se sophistiquer, avec des conséquences très néfastes à la clé. Limiter efficacement son exposition au risque passe certes par certaines actions ou réflexes simples. Mais établir une feuille de route plus spécifique est nécessaire tout comme la souscription d’une assurance cyber. Explications.

Portrait de Thibault Solelis

La fraude sociale relève désormais de l’ingénierie sociale, avec une usurpation d’identité nourrie préalablement par une première cyberattaque, laquelle peut même ne pas avoir été identifiée par l’entreprise jusque-là. Ce peut être la prise de contrôle d’une boite mail ou plus largement un vol de données. La cyberattaque sert de base pour monter un scénario.

Thibault Solelis, Responsable marché Entreprises au sein de La Banque Postale

Les entreprises privées sont les principales cibles des cyberattaques en France, à 90 %, les PME constituant l’écrasante majorité d’entre elles (85 %) selon une récente étude du cabinet Astères. Elles entraînent une paralysie des systèmes informatiques et/ou des process métiers, mais aussi des coûts (rançons, heures de travail perdues). Or, le mois d’octobre est en France celui du « Cybermoi/s », une déclinaison du Mois européen de la cybersécurité, créé en 2012 par l’Agence de l’Union européenne pour la cybersécurité (ENISA). 

Pour sa 12ème édition, le Cybermoi/s, met en avant la fraude sociale, une manipulation psychologique à travers un contexte très crédible, capable de tromper la confiance de la victime en jouant sur la peur et la pression de l’urgence, afin d’obtenir de l’argent et/ou des données. Appliquée aux entreprises, la plus connue est la fraude au président. Mais la fraude sociale prend depuis peu des formes bien plus sophistiquées : « Elle relève désormais de l’ingénierie sociale, avec une usurpation d’identité nourrie préalablement par une première cyberattaque, laquelle peut même ne pas avoir été identifiée par l’entreprise jusque-là, explique Thibault Solelis, Responsable marché Entreprises au sein de La Banque Postale. Ce peut être la prise de contrôle d’une boite mail ou plus largement un vol de données. La cyberattaque sert de base pour monter un scénario ».

Elle donne de la crédibilité à la demande des hackers. Pour détourner des règlements, il faut solliciter des clients de l’entreprise afin qu’ils modifient les coordonnées bancaires de celle-ci. Cette demande est bien plus réaliste si l’on dispose de l’identité et des coordonnées de leurs interlocuteurs habituels dans l’entreprise et des véritables coordonnées bancaires de cette dernière.

Construire et diffuser une culture cyber : le rôle de la direction générale

Phishing, spear phishing ou encore malware, peu importe : l’ingénierie sociale est difficilement repérable. Elle nécessite donc des mesures préventives à destination des salariés puisque 80 % des attaques ont pour origine une erreur humaine. Mais il existe d’autres portes d’entrée pour les hackers. À l’heure où de nombreuses entreprises adoptent définitivement le travail à distance et hybride, et où la réforme sur la facturation électronique arrive, l’élargissement de la surface d’attaque est le principal risque de prolifération des cybermenaces selon une récente étude publiée par le cabinet Gartner.

« Parmi nos clients, la ligne de fracture en termes d’exposition aux cybermenaces est fonction du niveau d’implication de la direction générale » relève Thibault Solelis. Un retour d’expérience qui fait écho aux propos tenus dans la newsletter d’EGERIE, entreprise spécialiste de l’analyse des risques cyber, qui note que « selon l’IFOP, 35% des dirigeants d’ETI considèrent le cyber comme un risque stratégique, 55 % des ETI évaluent ce risque comme important, mais le qualifient dans le même temps de « non prioritaire ». EGERIE s’interroge sur les raisons de cette contradiction et confirme que la cybersécurité ne dépend pas que de la DSI mais aussi, comme le souligne Thibault Solelis, « des ressources humaines pour le recrutement des compétences et la formation et bien évidemment de la direction financière qui dispose de données stratégiques. Elle doit s’impliquer dans le chiffrage du coût d’une attaque, du budget alloué à la cybersécurité, ainsi que dans la cartographie des risques et l’intérêt de recourir à une assurance. La cybersécurité doit être construite collectivement dans les entreprises : c’est donc une responsabilité de la direction générale, qui doit y allouer les moyens nécessaires ». Sous l’impulsion de la direction générale, la première action doit être la diffusion au sein de l’entreprise d’une culture cyber.

S’approprier et appliquer les recommandations de l’ANSSI

  • Connaissez-vous bien votre parc informatique et vos actifs métier ?
  • Effectuez-vous des sauvegardes régulières ?
  • Appliquez-vous régulièrement les mises à jour ?
  • Utilisez-vous un antivirus ?
  • Avez-vous implémenté une politique d’usage de mots de passe robustes ?
  • Avez-vous activé un pare-feu ? En connaissez-vous les règles de filtrage ?
  • Comment sécurisez-vous votre messagerie ?
  • Comment séparez-vous vos usages informatiques ?
  • Comment maîtrisez-vous le risque numérique lors des missions et des déplacements professionnels ?
  • Comment vous informez-vous ? Comment sensibilisez-vous vos collaborateurs ?
  • Avez-vous fait évaluer la couverture de votre police d’assurance au risque cyber
  • Savez-vous comment réagir en cas de cyberattaque ?
  • Envisagez-vous d’utiliser des solutions cloud ?

13 questions fondamentales que l’Agence nationale de sécurité des systèmes d’information (ANSSI) recommande aux entreprises de se poser et auxquelles elle apporte des réponses pratiques et des conseils au sein d’un guide. Si certaines précautions s’avèrent aisées à mettre en place, limiter son exposition au risque cyber peut nécessiter une analyse poussée et des plans d’actions préventives complexes qui là encore ne peuvent pas provenir de la seule DSI mais nécessitent un accompagnement. Dans son rôle de tiers de confiance pour ses clients, La Banque Postale met en relation l’entreprise avec un partenaire expert qualifié à même de mener un diagnostic et de délivrer des conseils personnalisés au sein d’une feuille de route, organiser des tests et définir une stratégie de gestion de crise. La question n’est plus de savoir si l’entreprise subira une cyberattaque mais comment réagir lorsqu’elle survient.

C’est encore peu connu des PME et ETI mais il existe des cyber assurances pour dédommager les sinistres subis. L’assurabilité de celles-ci dépend toujours du travail de fond engagé pour limiter son exposition aux risques.

À lire

Bon à savoir

L’Autorité européenne des assurances et des pensions professionnelles (AEAPP) a lancé une enquête sur les PME et les cyber assurances.

Participer à l'enquête

Comment faire face aux fraudes bancaires ?

 À La Banque Postale, notre priorité est de vous protéger. Nous vous informons pour reconnaître et déjouer les tentatives de fraude afin de protéger votre établissement.

Nos conseils pour limiter les fraudes bancaires

Solutions associées

Protection cyber

Protection contre la fraude

Protégez votre entreprise des risques de cybercriminalité avec notre offre.

Articles associés

Voir tous les articles associés