Les cybercriminels toujours plus novateurs

Selon une enquête PwC de 2019, les risques rencontrés par les directeurs financiers sont multiples. Réglementaires, organisationnels, financiers, cyber ou encore sociaux. Avec le confinement lié au coronavirus, toutes ces menaces ont pris de l’importance, notamment le cyber-risque.

© BeeBright

Selon une enquête PwC de 2019, les risques rencontrés par les directeurs financiers sont multiples. Réglementaires, organisationnels, financiers, cyber ou encore sociaux. Avec le confinement lié au coronavirus, toutes ces menaces ont pris de l’importance, notamment le cyber-risque.

Tous risques confondus, la cybercriminalité gagne du terrain au sein des entreprises. Ces techniques informatiques d’intrusions malveillantes sont devenues, d’après l’Allianz Risk Barometer 2019, le deuxième risque le plus redouté par les entreprises, derrière la cessation d’activité et devant les catastrophes naturelles. Les formes d’une attaque sont innombrables. Les criminels peuvent demander une rançon, faire de l’espionnage industriel ou économique, ou bien détourner des fonds. L’attaque du cybercriminel engendre des conséquences variées pour les sociétés comme dégrader sa réputation, son activité et donc son chiffre d’affaires.

La crise sanitaire, le terrain de jeu des hackers

La cybercriminalité a fortement augmenté avec l’épidémie mondiale. D’après une enquête de Moody’s, le taux de cyberattaques au niveau mondial envers les institutions a augmenté de 238 % entre février et avril 2020 et les tentatives d’extorsion des données personnelles ont été multipliées par neuf. Les secteurs de la santé et de l’alimentaire ont aussi été fortement touchés. L’une des raisons évidentes est le télétravail et la baisse de vigilance qui en découle. Les agences de cybersécurité ont mis en garde les sociétés contre certains VPN ou encore certaines plateformes en ligne telles que Zoom ou Microsoft Teams, concernant les visioconférences non sécurisées par un mot de passe. Dans la foulée, de nombreux mails, soi-disant de l’OMS ou proposant masques et gels hydroalcooliques gratuits, n’ont été envoyés que dans le seul but de pirater les données personnelles des utilisateurs. Quand ces derniers consultent leur boîte mail personnelle à l’aide de leur ordinateur professionnel, c’est tout le réseau de l’entreprise qui peut alors être infecté.

 

L’émergence d’un cyber-risque : le ransomware

Quatorze secondes. C’est le laps de temps entre deux attaques par ransomware dans le monde en 2019. Les pirates du Web chiffrent les données de l’entreprise ou bien interdisent l’accès aux employés, moyennant une rançon. Ce phénomène peut survenir très rapidement. La simple ouverture d’une pièce jointe suffit. C’est le nouveau virus à la mode et dont, tout récemment, en juillet, le groupe français de BTP Rabot Dutilleul a été victime. Frappé par un rançongiciel, il leur a été demandé 973 bitcoins, soit près de huit millions d’euros. Le groupe a porté plainte et des équipes techniques travaillent pour débloquer les informations. Parfois, payer la rançon suffit pour récupérer ses données, mais dans certains cas – environ un sur cinq –, l’entreprise ne les retrouvera jamais. Certains criminels utilisent en effet des logiciels qu’ils ne détiennent pas et n’ont donc pas la main sur les données collectées. Si les sociétés acceptent de payer, c’est que le montant demandé est, en général, peu élevé, mais aussi parce qu’elles craignent que le piratage ternisse leur image et compromette leur réputation. Ajouté à cela, le faible nombre de dépôts de plaintes entraîne une sous-évaluation de ce risque par les gouvernements.

 

Prévenir et réprimer

Diffuser la culture du risque constitue alors l’enjeu primordial. Dorénavant, tout directeur financier se doit d’être aussi un expert du risque. L’une des solutions mises en avant les a amenés à créer le poste de "risk manager". Pourtant, le risk management ne fait pas tout. Chaque employé de la société a son rôle à jouer pour éviter au mieux les virus. Alors que 80 % des incidents sont d’origine humaine, la sensibilisation aux risques de la part de l’équipe qui s’en charge est primordiale.

Les experts admettent ainsi quatre pratiques à adopter. Tout d’abord, et pour limiter au maximum les attaques, mettre en place les outils ad hoc s’impose. Cela passe également par des sauvegardes régulières et par l’identification des données les plus primordiales de la société. Celles-ci, indispensables à sa survie, seront à protéger en priorité. Puis, à tous les niveaux du système d’exploitation, des outils de détection des virus doivent être créés, et ce, avant de déployer des outils d’analyse, puis de correction. D’après le directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), toutes ces pratiques pour sécuriser les établis- sements des hackers devraient représenter 10 % du budget du département en charge des cyber-risques.

"Le coût pour sécuriser les établissements des hackers devrait représenter 10 % du budget du département en charge des cyber-risques"

Si des cyber assurances émergent, il est préférable de relire en premier lieu son contrat d’assurance de base. Ce dernier peut couvrir les préjudices en cas de cyberattaque. Mais la cyber assurance peut aussi avoir des avantages pour les petites et moyennes entreprises qui n’ont pas toujours les moyens d’avoir un service dédié à la protection des données. L’assurance n’est pas, dans ce cas, considérée uniquement pour l’aspect financier, mais aussi pour l’expertise externe qu’elle peut apporter. Attention toutefois au respect de la Loi Sapin II (2019) en matière de conformité et de cybercriminalité. Celle-ci annonce, entre autres, la nécessité de produire des données comptables justes et de confectionner une cartographie des risques pour lutter contre la corruption et les vols de données. D’après l’étude Euler Hermes - DFCG 2017 et avant la mise en place de la loi Sapin II, seules 20 % des entreprises avaient établi cette cartographie et essayé des tests fictifs d’intrusion. Si les données comptables font défaut, l’assurance ne sera pas forcément effective en cas d’attaque. Désormais, avec le Règlement général sur la protection des données (RGPD 2018), toute entreprise doit se prémunir au maximum contre les risques, sous peine d’amende.

Si ces attaques peuvent être contournées, les hackers innovent constamment. Combien de temps avant une nouvelle forme d’intrusion ? La crise du coronavirus a entraîné un corollaire inattendu, celui d’une forte hausse du nombre de cyberattaques, mettant en exergue les risques auxquels les sociétés sont en permanence confrontées et l’urgence de les prévenir.

Agathe Giraud

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Stratégies financières et fiscales 2020

Retrouvez notre dossier issu du guide-annuaire Stratégies financières et fiscales 2020
Sommaire
Frédéric Trinel (Ecovadis) : "Nous avons atteint un point de non-retour sur l’importance des critères ESG"

Frédéric Trinel (Ecovadis) : "Nous avons atteint un point de non-retour sur l’importance des critère...

Créée en 2007, Ecovadis a développé une plateforme permettant aux sociétés d’évaluer leur politique en matière d'ESG. En forte croissance, Ecovadis tr...

Les fonds de private equity, nouveaux acteurs de la philanthropie ?

Les fonds de private equity, nouveaux acteurs de la philanthropie ?

Les initiatives philanthropiques se multiplient au sein des fonds d’investissement. Pour amener des financements à des associations qui en manquent cr...

Levée record pour Capza

Levée record pour Capza

Capza inscrit un nouveau record à son palmarès en levant 700 millions d’euros pour son nouveau fonds Capza 5 flex equity, soit le double de la taille...

M. David (Creative Value) : "Pour faire du LBO, il faut être différent"

M. David (Creative Value) : "Pour faire du LBO, il faut être différent"

À la tête de Creative Value, société indépendante d'executive search, Michel David opère exclusivement auprès de fonds de Private Equity à position ma...

Coralie Oger et son équipe arrivent chez Scotto Partners

Coralie Oger et son équipe arrivent chez Scotto Partners

Grâce à l’arrivée de Coralie Oger, de Pierre Lumeau et de Caroline Vieren en provenance de FTPA, la boutique française spécialiste du management packa...

F. Duval (Amazon France) : "Seule une PME sur huit utilise des solutions de vente en ligne"

F. Duval (Amazon France) : "Seule une PME sur huit utilise des solutions de vente en ligne"

Amazon France comptera 14 500 collaborateurs à la fin de l'année et se place aujourd'hui comme un acteur de la digitalisation. Frédéric Duval, son dir...

E. Laillier (Tikehau) : "La demande des particuliers pour investir en private equity est de plus en plus forte"

E. Laillier (Tikehau) : "La demande des particuliers pour investir en private equity est de plus en...

Activité clef de Tikehau Capital, le private equity poursuit sa montée en puissance et continue de se développer à travers, notamment, plusieurs belle...

Shift Technology entre dans le club des licornes françaises

Shift Technology entre dans le club des licornes françaises

La pépite tricolore de l’assurtech vient de lever 220 millions de dollars. La clé du succès ? Des solutions basées sur l’IA qui permettent aux assureu...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte