La transformation numérique et ses corollaires (dépendance accrue aux outils, interconnectivité des systèmes d’information, généralisation du stockage dans le cloud…) ont généré de nouveaux risques contre lesquels les entreprises ne sont pas suffisamment armées.
Les enjeux de cybersécurité font désormais partie du quotidien des entreprises avec la numérisation des processus et l’explosion de la data et du cloud. Ils doivent, à ce titre, faire l’objet d’une attention toute particulière et d’une politique structurée de résilience qui fait intervenir l’ensemble des acteurs et des outils performants.
La crise du Covid-19 a été un accélérateur de ces risques cyber. Des logiciels de rançons sont vendus clé en main sur le Darkweb, alors que la cybercriminalité s’est professionnalisée : elle fait appel à ses développeurs, ses vendeurs, ses exécutants.
Des risques accrus en matière de cybersécurité des entreprises
La transition numérique à l’œuvre a induit l’apparition de nouveaux risques, toujours plus sérieux et nombreux. En effet, cette transformation résulte d’une dématérialisation importante des systèmes d’information vers le cloud, de l’affirmation du rôle des Big Data, mais aussi l’explosion de l’internet des objets (IoT). La rapidité des cycles de développement applicatifs modernes entraîne de nouvelles failles de sécurité.
Les entreprises évoluent désormais dans un monde ultra-connecté et interconnecté avec une mobilité des données sur smartphones, tablettes, et ordinateurs portables qui engendre une répartition des applications sur de nombreux serveurs physiques et virtuels, dans un datacenter et/ou dans le cloud, et complexifie leur protection.
Soulignons que les menaces de cyberattaques et de cyber-incidents ne concernent pas exclusivement les structures les plus importantes en taille. Toutes les entreprises sont concernées par les enjeux de la cybersécurité. Nombreuses sont désormais les PME-PMI à avoir pris le virage du numérique et à avoir fait l’objet d’attaques.
Les enjeux de la cybersécurité pour les entreprises
Les entreprises ont investi dans la cybersécurité, et pour cause, le nombre de cyberattaques est en augmentation constante, si bien qu’elles auraient été multipliées par quatre dans les grandes entreprises au cours de l’année 2020.
Ainsi, en 2020, c’est une immense majorité, à savoir 80%, des entreprises qui ont révélé avoir été la victime d’au moins une cyberattaque. Il ne s’agit là que des entreprises qui ont souhaité communiquer sur la question. Nombreuses sont celles qui préfèrent faire preuve de discrétion sur la question et n’avouent pas avoir été ciblées, par crainte d’entacher leur réputation auprès de leurs clients.
Face à l’accélération des cyber risques, les entreprises ont su faire face et développer des outils d’adaptation pour répondre aux enjeux posés par la cybersécurité. En effet, 40% d’entre elles ont installé un programme de cybersécurité pour optimiser la gestion de leurs données et réduire leur vulnérabilité pour lutter contre les risques liés à l’utilisation croissante du cloud.
Pour autant, le tiers d’entre elles estiment que leur système de protection n’est pas suffisamment adapté aux enjeux actuels et à l’évolution constante des menaces. Elles considèrent également que leurs mesures de sécurité ne permettent pas de soutenir leur stratégie de développement.
Pertes financières et enjeu réputationnel
Les conséquences d’une cyberattaque peuvent s’avérer désastreuses pour les entreprises ciblées. Les coûts causés pour absorber les effets néfastes d’une cyberattaque peuvent vite être très conséquents et occasionner un effondrement du chiffre d’affaires de la société.
La perte financière peut découler d’un ralentissement important de l’activité de l’entreprise et même de son interruption en raison de l’indisponibilité des services informatiques. L’atteinte à la réputation de l’entreprise est un effet indirect d’une cyberattaque mais elle peut également entraîner une perte financière significative et durable.
***
Face à ces enjeux, la formation des collaborateurs revêt une importance centrale. Le risque cyber, diffus et systémique, concerne aussi les managers, qui doivent pouvoir l’appréhender pour mieux l’anticiper, le gérer et communiquer. L’évolution des métiers que ce risque entraîne doit donc s’accompagner d’une adaptation globale des formations initiales et continues.
Julien Nocetti,
titulaire de la chaire « Gouvernance du risque cyber » à Rennes School of Business
A propos de Julien Nocetti
Julien Nocetti est titulaire de la chaire « Gouvernance du risque cyber » et professeur associé à Rennes School of Business. Docteur en science politique, il est chercheur associé à l’Institut français des relations internationales (IFRI) et enseigne la géopolitique des enjeux numériques à l’Académie militaire de Saint-Cyr Coëtquidan. Sur ces problématiques, il contribue régulièrement au débat public et intervient dans les médias français et internationaux.
