La gouvernance, maillon fort de la cybersécurité ?

posté le 30 juin 2021

Article rédigé par Valérie LARFARGE-SARKOZY

Par Valérie LAFARGE-SARKOZY, Avocate associée, cabinet Altana, Secrétaire générale de la commission « Cyber risk » du Club des juristes

« Ils ne mouraient pas tous mais tous étaient frappés », rappelle La Fontaine dans la fable Les animaux malades de la peste, évoquant un mal qui frappe à l’aveugle tous les animaux, petits ou grands, faibles ou forts, jeunes ou anciens. Si le parallèle peut paraître audacieux, il n’en reste pas moins que l’actualité, récente ou moins récente, ne cesse de montrer combien entreprises, institutions, Etats et particuliers se trouvent désormais confrontés à un risque cyber chaque jour plus prégnant… et dont le coût, estimé à près de 10 000 milliards de dollars par an à l’horizon 2025, est considéré comme supérieur au risque climatique. Si la pandémie de Covid-19 a accéléré et facilité certaines attaques, ces dernières ne disparaîtront pas avec la pandémie, le cyberespace, et ses dangers, se nourrit et se développe chaque jour.

L’évidence : le risque cyber n’est pas une option

Ne nous y trompons pas, la question qui se pose aux dirigeants et aux organes de gouvernance n’est plus de savoir si leur organisation subira une cyberattaque, mais comment l’éviter. 9 entreprises sur 10 ont eu à subir au moins une attaque en 2019, il est à craindre que cette tendance ne soit pas en décroissance au regard de  la digitalisation exponentielle de l’économie, mais aussi du rapport risque/coût/gain très favorable à la cybercriminalité. Ainsi, les délinquants peuvent se procurer aisément en ligne et sur le darknet des kits aux alentours de 5 $, qui leur permettent de commettre des dénis de services et de faire usage de la technologie numérique pour industrialiser et globaliser leurs méfaits.

Ne pas s’y préparer, c’est prendre un risque majeur pour son organisation. Les organes de gouvernance et les dirigeants doivent anticiper, pour protéger l’entreprise et identifier son patrimoine à protéger et ses failles. Une cyberattaque peut paralyser l’ensemble des opérations en quelques instants et rendre un système totalement inopérant , en outre son coût  peut être  massif, en moyenne une cyberattaque coûte près de  8 millions d’euros à une entreprise. Le rapport entre le coût, le risque pour les attaquants et leur gain est donc abyssal.

Protéger son patrimoine informationnel avec l’appui des services spécialisés 

Data is power : le capital immatériel que constituent les données d’une organisation est, de façon croissante, au cœur de sa valorisation. Valorisation qui dépend des dispositifs de prévention pour parer aux risques cyber : audits rigoureux, assurances, renforcement des moyens humains et techniques, sécurisation de toutes les étapes de la supply chain, vérification de la dépendance et de la pénétration des sous- traitants de l’entreprise etc. La confiance pouvant être accordée à un opérateur peut aussi entrer en ligne de compte– comme l’a prouvé récemment l’incendie de serveurs d’OVH et les réactions de ses clients-.

Fort heureusement, les entreprises n’avancent pas seules sur ce terrain. Les pouvoirs publics, notamment l’ANSSI, comme l’institution judiciaire et les services de renseignements ont parfaitement intégré l’importance de ce risque pour les entreprises. Se tourner vers eux, recueillir leurs conseils, nouer des liens sont autant d’actes indispensables et qui permettront, en cas d’attaques, de réagir au plus vite et de limiter les dégâts. A titre d’exemple, informer l’ANSSI d’une attaque cyber dès qu’elle a lieu permet de bénéficier de son écosystème de partenaires de confiance pour restaurer les systèmes d’informations, de comprendre l’attaque, d’identifier les failles et le type de malware. Il faut documenter au maximum l’attaque pour fournir les informations nécessaires aux services spécialisés. 

Définir une gouvernance cyber

Dirigeant et organes de gouvernance ont à l’évidence un rôle déterminant pour protéger leurs entreprises, ainsi que leur propre responsabilité.

L’une des étapes essentielles de la gestion du risque numérique est l’organisation d’une gouvernance cyber couplée à la diffusion d’une culture de cybersécurité.

Une cyber gouvernance consiste à :

  • Instaurer une gouvernance transversale des données et du patrimoine informationnel de l’entreprise, notamment en réalisant un audit des données sensibles et stratégiques à protéger et des vulnérabilités, mais également en sécurisant le travail à distance, en intégrant les règles de la cybergouvernance dans le règlement intérieur, en rédigeant une charte informatique.
  • Revoir les contrats et notamment d’externalisation des données et d’assurance, mais aussi de travail en renforçant les clauses de confidentialité.
  • Former les collaborateurs de l’entreprise.
  • Disposer d’un plan de communication et de gestion de crise.

Prendre ses responsabilités et réagir au plus vite

Il est vital que les dirigeants s’informent sur les risques cyber pour initier un mouvement qui protégera chaque maillon de l’organisation. En étant en contact permanent avec les entreprises, nous avons constaté qu’il y avait encore trop souvent une absence de conscience du risque, pas suffisamment d’anticipation et de formation, et des outils encore inadaptés.

Nul n’est à l’abri, le risque zéro n’existe pas, la question n’est pas de savoir si l’on risque d’être attaqué mais quand et comment limiter ce risque. 

Il faut assurer la sécurité des systèmes d’information en optimisant avec des moyens raisonnables leur capacité à résister aux actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données et des services associés : les dirigeants doivent intégrer le risque numérique dans la gestion globale des risques de leurs entreprises et devraient utiliser 5 à 10% de leur budget IT dans la cybersécurité pour se doter de solutions efficientes.

Reste enfin à évoquer la gestion et la communication de crise. Il est essentiel que soit instaurée une procédure de gestion de crise, immédiatement opérationnelle en cas de survenance d’une attaque cyber, comprenant un plan de continuité et de reprise d’activité. En pareil contexte de cyberattaque et donc d’urgence, la communication de crise ne s’improvise pas. Elle doit être coordonnée et impliquer tant les acteurs techniques que les acteurs juridiques, sous la houlette des dirigeants.

Alors que notre société peine à se relever d’une pandémie sanitaire, l’analogie avec le risque cyber paraît hélas s’imposer. C’est une course contre la montre. Ne tardons pas puisque nous savons qu’une meilleure protection permet de limiter les attaques graves.

Si chaque entreprise élève son niveau de cybersécurité nous pourrons continuer à tirer pleinement parti des opportunités du numérique.

Le rapport « Le droit pénal à l’épreuve des cyberattaques » du Club des juristes publié en avril 2021 a dressé un état des lieux des phénomènes de cybercriminalité et des moyens mis en œuvre pour les affronter. Il émet 10 préconisations pour renforcer la protection des entreprises et des citoyens dans un contexte où le scénario d’une cybercriminalité qui pourrait coûter globalement 6 000 milliards de dollars par an aux entreprises appelle un changement de posture et des investissements d’ampleur.

Valérie LAFARGE-SARKOZY

[1]  Rapport du ministère de l’Intérieur, État de la menace liée au numérique, 2019

[2] Rapport Accenture Security, État de la cybersécurité, 2019 : le coût moyen d’une cyberattaque pour une entreprise en France en 2019 est de 8.6 millions d’euros, avec une augmentation constante ces dernières années de près de 25%.

Revenir à notre actualité