La cybersécurité, un défi à haut risque pour les entreprises

Replay événements IT / Cybersécurité / Data / Supply Chain Damien Grosset 4 min de lecture

Les attaques informatiques ont explosé depuis la pandémie de Covid-19. À tel point que les entreprises ne peuvent plus négliger l’importance de la sécurité informatique au sein de leur organisation. Animée par Didier Krainc, la conférence « Cybersécurité des systèmes d’information : quels enjeux stratégiques et économiques pour les entreprises », en marge de la Verticale IT des BigBoss, revient sur les évolutions du secteur.

La crise sanitaire débride certains freins au changement. Au mois d’octobre dernier, lors de l’événement lesBigBoss Mode Beauté & Retail, la conférence « Expérience client omnicanal : quelles nouvelles tendances pour accélérer la conversion ? » avait délivré un constat unanime : avec la fermeture de leurs points de vente, les enseignes soulignaient toutes leur transformation digitale à marche forcée. Même topo durant la Verticale Ressources Humaines et sa conférence « Flex work : une démarche pour changer le quotidien ». Là encore, les DRH étais tous formels : en termes d’organisation du travail, il y a eu un avant et un après crise sanitaire.

La verticale IT & Cybersécurité, qui s’est déroulée les 18 et 19 novembre à Bordeaux, n’a pas dérogé à la règle : la pandémie a octroyé un nouveau rôle plus stratégique à la cybersécurité dans les entreprises. « Les investissements dans ce domaine augmentent clairement, confirme Cédric Voisin, Chief information security officer (CISO) de Doctolib, lors de la conférence. Et le CISO de constater que le paysage IT a changé depuis le début de la crise du Covid-19. »

 

Une explosion des attaques

Cédric Voisin est bien placé pour le savoir. Son site était en première ligne pendant la crise sanitaire. 500 millions de rendez-vous ont été pris sur le site en 2021, assure-t-il. De quoi mettre en péril la sécurité informatique de la plateforme de consultations médicales. « Plus généralement, pendant la crise du covid, c’est tout l’écosystème de la santé qui s’est fait hacker », continue Cédric Voisin. Si la santé a subi d’importants revers en matière de sécurité informatique depuis 2020, elle n’est pas le seul secteur exposé, loin de là même. Avec le confinement, les attaques informatiques de type hameçonnage (phishing) et de logiciels malveillants (malwares) ont augmenté de 30 000 % rien que sur le premier semestre 2020, selon l'éditeur de solutions de sécurité Zscaler. Ces attaques, Nicolas Drapier, Chief digital & technology officer de Compass Group, acteur mondial de la restauration collective, les connaît bien : « Ce sont des petites attaques du quotidien avec des tentatives de récupération de mots de passe, de la fraude au président, des messages vocaux imitant la voix de dirigeants du groupe… ».

« Les attaques informatiques ont augmenté de 30 000 % rien que sur le premier semestre 2020. »

Autre chiffre impactant : pour l’année 2019, la cybercriminalité était estimée à plus de 600 milliards de dollars (en détournements de données, demandes de rançons…), soit une hausse de 25 % en 5 ans. Et le futur ne s’annonce guère plus reluisant : selon la société américaine d’analyse Forrester Research, 60 % des incidents de sécurité informatique impliqueront des tiers, autrement dit des hackers. Toujours selon cette étude, les entreprises et les organisations publiques qui investissent insuffisamment dans la gestion du risque cyber seront les plus exposées.

 

Le rôle croissant des DSI

Alors que font les entreprises pour limiter les dégâts face à la montée des attaques ? Parce que si celles-ci explosent, elles peuvent aussi devenir mortelles. La preuve : d’après une étude de l'assureur britannique Hiscox, 80 % des entreprises ayant perdu leurs données informatiques suite à une cyberattaque font faillite dans les 12 mois. De quoi reconsidérer à la hausse l’importance dédiée à la DSI (direction des systèmes d’information) dans les entreprises. À commencer par le rôle du DSI lui-même. Car ce dernier n'est plus comparé à un informaticien. Il est désormais bien plus. Il est un transformateur. Il sensibilise, il prévient, il forme. « Si cela dépend avant tout de la culture de l’entreprise, le DSI a du poids, surtout s’il fait partie du Comex », souligne Nicolas Drapier. Le mois prochain, Compass a d’ailleurs prévu de réunir son Comex (achats, RH, finances…) et ses équipes IT autour d’une simulation d’un incident de cybersécurité. Si un exercice d'une telle envergure est inédit au sein de l’entreprise, Nicolas Drapier forme déjà en continue les salariés de son groupe en cybersécurité : « Tous les trois mois, nous lançons un faux phishing pour nous exercer et prévenir les possibles intrusions. »

« Le télétravail et l’isolement ont multiplié les attaques. »

 

Nicolas Drapier n’est pas le seul à sensibiliser les foules aux cybermenaces. Matthieu Blin, chief information officer (CIO) chez Motul, constate aussi des progrès : « Le télétravail et l’isolement ont multiplié les attaques. Et les collaborateurs ne savent pas forcément se préserver seuls. Ils ont besoin d’aide et c’est à nous de les sensibiliser. Matthieu Blin le reconnaît : après son arrivée chez Motul il y a un an, la mise en place de cette éducation un peu forcée aux bonnes pratiques n’a pas toujours été bien perçue par les salariés de l’entreprise. Mais, au final, il est parvenu à faire changer les mentalités.

« Nous avons des remontées utilisateurs : à force de faire de la prévention et de la communication auprès des équipes, nous avons plus de mails qui nous adressent des craintes d’attaques via de fausses adresses mails ou encore des fausses factures… ». Là encore, le CIO de Motul n’est pas le seul à constater l’importance de son rôle au sein de l’entreprise. D’après une étude Insight Avenue / Pure Storage, près de 75% des responsables IT français sont « fiers d'avoir joué un rôle significatif au cours de l'année dernière ». C’est dire si l’IT monte encore d’un cran dans la hiérarchie de l’entreprise.

Damien Grosset