Les cybercriminels toujours plus novateurs

Selon une enquête PwC de 2019, les risques rencontrés par les directeurs financiers sont multiples. Réglementaires, organisationnels, financiers, cyber ou encore sociaux. Avec le confinement lié au coronavirus, toutes ces menaces ont pris de l’importance, notamment le cyber-risque.

© BeeBright

Selon une enquête PwC de 2019, les risques rencontrés par les directeurs financiers sont multiples. Réglementaires, organisationnels, financiers, cyber ou encore sociaux. Avec le confinement lié au coronavirus, toutes ces menaces ont pris de l’importance, notamment le cyber-risque.

Tous risques confondus, la cybercriminalité gagne du terrain au sein des entreprises. Ces techniques informatiques d’intrusions malveillantes sont devenues, d’après l’Allianz Risk Barometer 2019, le deuxième risque le plus redouté par les entreprises, derrière la cessation d’activité et devant les catastrophes naturelles. Les formes d’une attaque sont innombrables. Les criminels peuvent demander une rançon, faire de l’espionnage industriel ou économique, ou bien détourner des fonds. L’attaque du cybercriminel engendre des conséquences variées pour les sociétés comme dégrader sa réputation, son activité et donc son chiffre d’affaires.

La crise sanitaire, le terrain de jeu des hackers

La cybercriminalité a fortement augmenté avec l’épidémie mondiale. D’après une enquête de Moody’s, le taux de cyberattaques au niveau mondial envers les institutions a augmenté de 238 % entre février et avril 2020 et les tentatives d’extorsion des données personnelles ont été multipliées par neuf. Les secteurs de la santé et de l’alimentaire ont aussi été fortement touchés. L’une des raisons évidentes est le télétravail et la baisse de vigilance qui en découle. Les agences de cybersécurité ont mis en garde les sociétés contre certains VPN ou encore certaines plateformes en ligne telles que Zoom ou Microsoft Teams, concernant les visioconférences non sécurisées par un mot de passe. Dans la foulée, de nombreux mails, soi-disant de l’OMS ou proposant masques et gels hydroalcooliques gratuits, n’ont été envoyés que dans le seul but de pirater les données personnelles des utilisateurs. Quand ces derniers consultent leur boîte mail personnelle à l’aide de leur ordinateur professionnel, c’est tout le réseau de l’entreprise qui peut alors être infecté.

 

L’émergence d’un cyber-risque : le ransomware

Quatorze secondes. C’est le laps de temps entre deux attaques par ransomware dans le monde en 2019. Les pirates du Web chiffrent les données de l’entreprise ou bien interdisent l’accès aux employés, moyennant une rançon. Ce phénomène peut survenir très rapidement. La simple ouverture d’une pièce jointe suffit. C’est le nouveau virus à la mode et dont, tout récemment, en juillet, le groupe français de BTP Rabot Dutilleul a été victime. Frappé par un rançongiciel, il leur a été demandé 973 bitcoins, soit près de huit millions d’euros. Le groupe a porté plainte et des équipes techniques travaillent pour débloquer les informations. Parfois, payer la rançon suffit pour récupérer ses données, mais dans certains cas – environ un sur cinq –, l’entreprise ne les retrouvera jamais. Certains criminels utilisent en effet des logiciels qu’ils ne détiennent pas et n’ont donc pas la main sur les données collectées. Si les sociétés acceptent de payer, c’est que le montant demandé est, en général, peu élevé, mais aussi parce qu’elles craignent que le piratage ternisse leur image et compromette leur réputation. Ajouté à cela, le faible nombre de dépôts de plaintes entraîne une sous-évaluation de ce risque par les gouvernements.

 

Prévenir et réprimer

Diffuser la culture du risque constitue alors l’enjeu primordial. Dorénavant, tout directeur financier se doit d’être aussi un expert du risque. L’une des solutions mises en avant les a amenés à créer le poste de "risk manager". Pourtant, le risk management ne fait pas tout. Chaque employé de la société a son rôle à jouer pour éviter au mieux les virus. Alors que 80 % des incidents sont d’origine humaine, la sensibilisation aux risques de la part de l’équipe qui s’en charge est primordiale.

Les experts admettent ainsi quatre pratiques à adopter. Tout d’abord, et pour limiter au maximum les attaques, mettre en place les outils ad hoc s’impose. Cela passe également par des sauvegardes régulières et par l’identification des données les plus primordiales de la société. Celles-ci, indispensables à sa survie, seront à protéger en priorité. Puis, à tous les niveaux du système d’exploitation, des outils de détection des virus doivent être créés, et ce, avant de déployer des outils d’analyse, puis de correction. D’après le directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), toutes ces pratiques pour sécuriser les établis- sements des hackers devraient représenter 10 % du budget du département en charge des cyber-risques.

"Le coût pour sécuriser les établissements des hackers devrait représenter 10 % du budget du département en charge des cyber-risques"

Si des cyber assurances émergent, il est préférable de relire en premier lieu son contrat d’assurance de base. Ce dernier peut couvrir les préjudices en cas de cyberattaque. Mais la cyber assurance peut aussi avoir des avantages pour les petites et moyennes entreprises qui n’ont pas toujours les moyens d’avoir un service dédié à la protection des données. L’assurance n’est pas, dans ce cas, considérée uniquement pour l’aspect financier, mais aussi pour l’expertise externe qu’elle peut apporter. Attention toutefois au respect de la Loi Sapin II (2019) en matière de conformité et de cybercriminalité. Celle-ci annonce, entre autres, la nécessité de produire des données comptables justes et de confectionner une cartographie des risques pour lutter contre la corruption et les vols de données. D’après l’étude Euler Hermes - DFCG 2017 et avant la mise en place de la loi Sapin II, seules 20 % des entreprises avaient établi cette cartographie et essayé des tests fictifs d’intrusion. Si les données comptables font défaut, l’assurance ne sera pas forcément effective en cas d’attaque. Désormais, avec le Règlement général sur la protection des données (RGPD 2018), toute entreprise doit se prémunir au maximum contre les risques, sous peine d’amende.

Si ces attaques peuvent être contournées, les hackers innovent constamment. Combien de temps avant une nouvelle forme d’intrusion ? La crise du coronavirus a entraîné un corollaire inattendu, celui d’une forte hausse du nombre de cyberattaques, mettant en exergue les risques auxquels les sociétés sont en permanence confrontées et l’urgence de les prévenir.

Agathe Giraud

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Stratégies financières et fiscales 2020

Retrouvez notre dossier issu du guide-annuaire Stratégies financières et fiscales 2020
Sommaire
Lary Page, programmé dès l'enfance

Lary Page, programmé dès l'enfance

L’Américain a marqué l’histoire de l’informatique et, grâce à Google, a grandement influencé nos vies. Retour sur le parcours hors norme d’un homme qu...

Christel Bories, transformer le minerai en or

Christel Bories, transformer le minerai en or

Patronne d’Eramet depuis l’été 2017, Christel Bories s’est attelée à sortir le groupe minier de la crise et à le désendetter. Saluée pour sa performan...

Affaire Veolia : l’avocat des salariés de Suez prend la parole

Affaire Veolia : l’avocat des salariés de Suez prend la parole

Il est celui qui a obtenu la suspension du projet de rachat par Veolia de la participation d’Engie dans Suez. Pour Décideurs Magazine, Zoran Ilic revi...

J-P. Sbraire (Total) : "Notre ambition est d’atteindre la neutralité carbone en 2050"

J-P. Sbraire (Total) : "Notre ambition est d’atteindre la neutralité carbone en 2050"

Les groupes pétroliers ont dû affronter à la fois la crise sanitaire de Covid-19 et la crise des marchés pétroliers. Jean-Pierre Sbraire, directeur fi...

Le spécialiste français de l’hydrogène, McPhy, lève 180 millions d'euros

Le spécialiste français de l’hydrogène, McPhy, lève 180 millions d'euros

Le groupe McPhy réalise, auprès de ses actionnaires historiques et de deux nouveaux entrants, Chart International Holdings et Technip Energies, un tou...

J. Le Louët (Fonds de Garantie des Victimes) : "Les obligations convertibles jouent un rôle d’amortisseur"

J. Le Louët (Fonds de Garantie des Victimes) : "Les obligations convertibles jouent un rôle d’amorti...

Exerçant des missions d'intérêt général, le fonds couvre des risques lourds et relativement longs et peut donc se permettre des pondérations en action...

Conformité : de nouveaux visages chez Gras Savoye et Société générale

Conformité : de nouveaux visages chez Gras Savoye et Société générale

Gras Savoye Willis Watson Towers et la Société générale nomment respectivement Isabelle Mury et Grégoire Simon-Barboux au poste de responsable de la c...

Veolia finance le rachat de Suez par une émission d’obligations hybrides

Veolia finance le rachat de Suez par une émission d’obligations hybrides

Veolia a annoncé, le 14 octobre, l’émission de deux nouvelles obligations hybrides pour une valeur totale de 2 milliards d’euros. Cette somme doit ser...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte