Les cyberattaques sont aujourd’hui une menace importante qui pèse sur les entreprises. Le rapport Hiscox 2021 a démontré que si leur nombre diminue, le coût d’une cyberattaque pour une entreprise est toujours plus important. Le nombre d’entreprises touchées par des cyberattaques est passé de 38 à 43% en 2021. Le rapport Hiscox de 2021 sur la gestion des cyber-risques affirme que parmi les entreprises attaquées, une sur six a déclaré avoir risqué de peu la faillite. La menace des cyberattaques ne doit donc pas être prise à la légère. Les entreprises doivent mettre en place des mesures pour prévenir les cyberattaques et pour réduire au maximum leurs conséquences.
Les différents types de cyberattaques
Quels sont les différents types de cyberattaques ? Le gouvernement français a divisé les cyberattaques en quatre catégories : la cybercriminalité, l’atteinte à l’image, l’espionnage et le sabotage. Chacune de ces catégories peuvent être divisées en sous-catégorie. La cybercriminalité désigne toutes les activités illégales effectuées par l’intermédiaire d’internet, on trouve par exemple dans cette branche le « phishing » qui consiste à usurper l’identité d’une personne pour obtenir des renseignements personnels et des identifiants bancaires pour en faire un usage criminel. Ensuite l’atteinte à l’image a pour but de déstabiliser des entreprises, notamment en remplaçant le contenu en ligne des entreprises par des revendications politiques, religieuses etc. Alors que l’atteinte à l’image joue sur la réputation de l’entreprise, l’espionnage est plus insidieux et difficilement détectable, il est généralement utilisé à des fins scientifiques ou économiques et peut entraîner des conséquences qui vont au-delà de l’entreprise mais impacter les intérêts nationaux. Le sabotage, comme l’atteinte à l’image est directement détectable, il vise à rendre inopérant tout ou une partie d’un système informatique.
L’impact est d’autant plus fort sur les petites entreprises à cause du coût des cyberattaques
Qui sont les cibles des cyberattaquants ? Depuis le début de la crise sanitaire, 58% des entreprises ont affirmé que le travail en distanciel les rendait plus vulnérables aux cyberattaques. Etonnamment ce sont les petites entreprises qui sont les plus touchées par ce type d’attaques. En réalité, cela n’est pas dû à leur taille mais plutôt à leur système de protection. Etant donné qu’elles considèrent que les cibles privilégiées par les cyberattaquants sont des entreprises de taille plus importantes, les mesures utilisées pour protéger leur système sont souvent moindre donc cela rend plus facile le piratage informatique de leurs données. Les pirates informatiques lancent des milliers d’attaques chaque jour de manière aléatoire et espèrent qu’une erreur d’inattention leur permettra de menacer un système, le terrain le plus propice à ces erreurs est les petites entreprises.
L’impact est d’autant plus fort sur les petites entreprises à cause du coût des cyberattaques. En effet le montant des pertes proportionnellement à la taille de l’entreprise est beaucoup plus important pour les plus petites entreprises. Pour autant, il ne faut pas faire de généralités, les grandes entreprises sont elles aussi des cibles du piratage informatique : selon le rapport Hiscox, un sixième des entreprises attaquées ont déclaré l’impact suffisamment important pour « menacer sérieusement la solvabilité/viabilité de l’entreprise ». Se pose la question de savoir quel est le coût d’un piratage informatique pour une entreprise. Bien entendu, le cout d’une cyberattaque pour une entreprise diffère en fonction d’un certain nombre de facteurs, mais il existe des outils qui permettent aux entreprises d’estimer approximativement quel pourrait-il être. Au-delà du cout financier, un piratage informatique entraine de nombreux couts indirects : information des clients, surveillance du crédit, frais juridiques etc.
Dès lors qu’une entreprise est consciente des conséquences qu’une cyberattaque pourrait avoir sur son activité, il est nécessaire de savoir comment se protéger des cyber risques. Selon le rapport Hiscox « les entreprises considérées comme « expertes » de la cybersécurité alloue près d’un quart (24%) de leur budget informatique à la protection des cyber risques, contre 17% pour les novices ». De nombreuses mesures peuvent être mises en place pour lutter contre les cyberattaques : formation des salariés, assurances, mesures de contrôle etc.
En 2021, la Commission a proposé la création d’une unité conjointe de cybersécurité
Les Etats membres de l’Union européenne se sont emparés de la question. En France, l’autorité nationale en matière de sécurité et de défense des systèmes d’information (ANSSI) a constaté une augmentation de 255% des signalements d’attaques informatiques par rançongiciel[1] entre 2019 et 2021. Le gouvernement s’est saisi de la question et a annoncé la mise en place d’une stratégie nationale pour renforcer la cybersécurité.
De la même manière, pour lutter contre ce fléau, la Commission européenne a décidé d’agir : en 2021, elle a proposé la création d’une unité conjointe de cybersécurité. Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique, s’est exprimée en ces termes : « La cybersécurité constitue une pierre angulaire d’une Europe numérique et connectée. Dans la société actuelle, il est primordial de réagir aux menaces de manière coordonnée. L’unité conjointe de cybersécurité contribuera à la réalisation de cet objectif. Ensemble, nous pouvons faire une réelle différence. » La création d’une unité conjointe de cybersécurité aurait pour but de lutter contre les incidents de cybersécurité qui entraînent des répercussions sur les services publics ainsi que sur la vie des entreprises et des citoyens dans l’ensemble de l’Union européenne. Ce nouveau système se fonde sur l’idée de collaboration, les acteurs ne doivent plus se battre individuellement contre les pirates informatiques mais œuvrer ensemble, réagir collectivement et partager leurs informations pour mettre fin à ce fléau. La création de cette unité conjointe de cybersécurité constitue une avancée importante dans la stratégie de cybersécurité de l’Union européenne et la stratégie de l’UE pour l’union de la sécurité. L’unité conjointe de cybersécurité devrait permettre aux Etats de réagir de manière coordonnée face aux incidents et crises de cybersécurité majeurs. Il devrait permettre une plus grande collaboration et aide entre les Etats membres et notamment une plus grande assistance des Etats membres touchés par des cyberattaques : « même si les secteurs peuvent être particuliers, les menaces sont souvent communes, c’est pourquoi la coordination, le partage des connaissances et même un avertissement préalable sont indispensables. ». Le but est de créer un espace commun au sein duquel les différents acteurs touchés par les cyberattaques pourront collaborer.
La protection contre les piratages informatiques est celle des financements
Les cyberattaques peuvent autant toucher le domaine privé que les institutions publiques, par exemple institutions européennes elles-mêmes sont touchées par les problématiques de cyberattaques. En 2021, certaines d’entre elles ont été victime de piratage informatique, parmi elles, la Commission européenne a été touchée. Selon le porte-parole de la Commission européenne, il n’y a eu aucun dégât à déplorer et aucune violation majeure n’a été détectée, pourtant, il semble que l’incident ait été plus grave que les attaques habituelles que les organes de l’Union européenne connaissent régulièrement.
Concernant les entreprises privées, en février 2021, le spécialiste de la cybersécurité Stormshield a lui aussi été touché par une cyberattaque ayant entrainé une fuite de données personnelles. L’entreprise a déclaré dans un communiqué un « incident de sécurité » ayant entrainé “un accès non-autorisé à un portail technique”. Selon l’entreprise, environ 2% des comptes ont été affectés par l’incident, entrainement une divulgation des données personnelles et des échanges techniques. L’enquête a révélé que des éléments du code source des produits “Stormshield Network Security” avaient fuité. Ces produits ont pour but de protéger les systèmes d’information des entreprises contre les menaces. L’Agence nationale de la sécurité des systèmes d’information a fait part de son inquiétude : le risque est que, face à cette situation, les attaques se multiplient. Elle a enjoint chaque client des solutions Stormshield d’effectuer “une analyse d’impact”.
Dans ce contexte, il est donc nécessaire d’être formé pour réagir à ce type de situation et de disposer de toutes les informations utiles et pertinentes permettant d’évaluer le niveau d’exposition des structures, leur capacité de résilience ainsi que les responsabilités en cause.
La première question qui se pose concernant la protection contre les piratages informatiques est celle des financements : quel budget faut-il allouer à la cybersécurité ? Il est nécessaire de prendre en compte l’ensemble des mesures qui devront être mise en place pour se protéger : le renforcement des systèmes d’information, la souscription à des assurances spécifique, les mesures de prévention et de formation face aux enjeux de la cybersécurité auprès du personnel, la mise en place de procédure internes etc.
Bien que les coûts pour se protéger semblent considérables, les avantages que l’on en retire dans la balance coûts pour se protéger et conséquences d’une attaque virtuelle ne sont pas négligeables. Par exemple, une attaque de rançongiciel peut entrainer l’extinction de la structure : arrêt de la production, perte de confiance des utilisateurs ou clients, des investisseurs, des salariés, perte de données stratégiques etc.
Par conséquent, l’anticipation et la préparation face à une telle attaque est indispensable pour assurer l’équilibre d’une entreprise. Comment une entreprise peut-elle se préparer pour éviter d’être confrontée à une attaque d’un pirate informatique ?
La première étape est celle de l’anticipation. L’article 32 du règlement général sur la protection des données (RGPD) prévoit que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Différentes mesures peuvent être adoptées pour prévenir les risques. Tout d’abord, les entreprises doivent mettre en place une politique de gestion de crise dans laquelle il est nécessaire de définir plusieurs points : qui prévenir ? quels canaux de communication doivent être employés ? L’anticipation de ces problématiques permet une gestion plus efficace de la situation, d’éviter que d’autres problèmes se superposent donc une résolution plus rapide de la situation.
Ensuite, il faut que les accords contractuels passés avec tous les acteurs qui collaborent avec l’entreprise prévoient des dispositions sur la protection des données, il est impératif de prévoir des garanties au sein de l’organisme lui-même mais aussi avec les prestataires fournisseurs.
Mesures utiles pour prévenir les cyberattaques
Le troisième point à mettre en œuvre pour anticiper les attaques est la formation des employés : ils doivent être capable d’adopter un comportement de gestion de crise, autant sur le plan technique (partage d’informations, qualification de la situation etc.) que sur le plan juridique (dépôt de plainte, notification aux personnes concernées etc.). La formation des équipes permet de gagner en efficacité et de limiter les conséquences sur les données et les conséquences juridiques de la crise.
La dernière politique à mettre en œuvre est celle de tester régulièrement les procédures et installations. Ces exercices permettant d’anticiper les attaques et d’évaluer le degré de résistance du système de protection à celles-ci, elles sont indispensables pour pouvoir adopter des mesures correctrices du système.
Toutes ces mesures sont utiles pour prévenir les cyberattaques, pourtant si des pirates informatiques se sont déjà infiltrés dans le système d’une entreprise, leur utilité est moindre : comment réagir consécutivement à une cyberattaque ?
La première étape est d’alerter le service informatique, c’est lui qui est le plus qualifié pour enquêter sur l’origine de l’événement et pour savoir quelles sont les mesures à prendre pour limiter les dégâts. Il faut ensuite isoler les machines infectées : le principal risque en cas de cyberattaque est que l’infection qui ne touche que quelques machines se propage à l’ensemble du système. Cela implique que les employés doivent être formés pour être capable de définir le périmètre des systèmes infectés, l’isoler pour endiguer la propagation. En plus de la dimension technique, il faut prendre en compte la dimension juridique du problème. L’article 33 instaure notamment une obligation de « notification à l’autorité de contrôle d’une violation de données à caractère personnel », la méconnaissance de cette obligation peut avoir des conséquences majeures sur la réputation de l’entreprise et entrainer des contrôles de la part des autorités compétentes. De plus, l’entreprise touchée par une cyberattaque doit être capable de se constituer des preuves pour pouvoir entamer une action en justice contre le cyberattaquant.
Une fois que l’attaque a été stoppée sur le court terme, il faut savoir réagir dans les semaines qui suivent : quel comportement adopter dans les semaines qui suivent une cyberattaque ? L’article 34 du RGPD impose une « communication à la personne concernée d’une violation de données à caractère personnel » cela est justifié par le fait que la « violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ». Il faut donc prévenir la personne concernée de la divulgation de ses données.
Finalement, il est nécessaire de mettre en place une communication de crise adaptée car une attaque dans le système d’une entreprise peut entraîner des conséquences importantes sur la réputation de celle-ci. Il faut donc mettre en place une stratégie pour informer les personnes concernées et éviter d’éventuels propagations de fausses informations dans les médias ou sur les réseaux. Il est indispensable de prendre en compte l’aspect juridique lié à la divulgation des données, cela implique de s’assurer que le langage utilisé et les actes de communication ne seront pas préjudiciables à la société en cas d’actions intentées contre cette dernière.
La lutte contre la cybercriminalité
L’ensemble des Etats membres de l’Union se sont engagés dans la lutte contre la cybercriminalité, néanmoins, on constate que les moyens alloués dans cette lutte sont inégaux. L’Union européenne a fait de la lutte contre la cybercriminalité l’une de ses priorités à travers la mise en place de la stratégie de sécurité intérieure renouvelée pour l’Union européenne 2015-2020. En juillet 2019, les agences Eurojust et Europol ont publie un rapport qui fait état des défis auxquels l’Union sera confronté dans la lutte contre la cybercriminalité. Les autorités se sont exprimées sur des arrêts rendus par la Cour de Justice de l’Union européenne qui ont invalidé certaines dispositions nationales et européennes et sans pour autant répondre aux questions des autorités nationales sur la possibilité d’obtenir des données des acteurs privés dans la lutte contre la cybercriminalité.
Le premier arrêt Digital Rights Ireland, rendu le 8 avril 2014 a considéré comme contraires aux droits fondamentaux les dispositions de la directive de 2006 permettant aux opérateurs de télécommunications de stocker les données de téléphonie de leurs clients pour 6 à 24 mois pour permettre aux forces de police de les utiliser à des fins de prévention ou d’enquête sur des faits de terrorisme et de criminalité grave. Une solution similaire sera réitérée dans l’arrêt Télé2Sverige, rendu le 21 décembre 2016 par laquelle les juges européens ont considéré que « l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ». On constate donc que la lutte contre la cybercriminalité peut être limitée par nos droits et libertés fondamentales. Alors que dans certains États membres de l’Union européenne la législation est toujours en place pour garantir que les fournisseurs d’accès Internet puissent conserver les données à des fins répressives, dans d’autres États membres, la législation nationale a été annulée à la suite de l’arrêt de la CJUE. Dans ces États membres, les fournisseurs d’accès Internet conservent certaines données à des fins commerciales ou comptables, mais ne disposent d’aucune donnée disponible pour étayer spécifiquement les enquêtes pénales. Les agences notent que « de telles écarts entravent le travail des autorités cybercompétentes et peuvent entraîner la perte de pistes d’enquête et, en fin de compte, affecter la capacité de poursuivre efficacement les activités criminelles en ligne ». Un cadre législatif européen encadrant la cybersécurité serait donc nécessaire pour garantir une application similaire des règles de l’Union sur l’ensemble du territoire.
Finalement, on constate que le domaine de la cybersécurité est extrêmement vaste et que faute de réelle législation qui permet de limiter les dangers, les entreprises doivent elle-même mettre en place des mesures pour limiter le risque d’attaque et être capable d’y faire face, tout en respectant les limites posées par la législation, qu’elle soit européenne ou nationale.
Eternoscorp reste à votre disposition pour mettre en place toutes les mesures nécessaires pour faire face aux cyberattaquants, que vous souhaitiez mettre en place une politique préventive ou en cas de besoin juridique suite à une attaque de votre système.
[1] Technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.
| 
Besoin de conseils en lien avec ce sujet ?
Faites appel à nos experts !
Que pensez-vous de cette analyse ?
Réagissez !