Penser le risque cyber à l’aune de la crise sanitaire

posté le 4 juin 2020

Article rédigé par Thibaud Frossard - Haut-fonctionnaire et co-fondateur de la NexGen du Cercle des Administrateurs

Who led the digital transformation of your company ? A) CEO – B) CTO  – C) COVID-19”. Peut-être êtes-vous également tombés sur ce plaisant QCM, devenu viral sur les réseaux sociaux à l’occasion de la crise sanitaire ? Il faut bien avouer que, dans de nombreuses organisations, la transition numérique était bien souvent brandie comme un argument marketing obligatoire, plus que comme une réalité palpable. Nul ne peut aujourd’hui dire que l’expérience du confinement de ce printemps n’en aura toutefois pas constitué un accélérateur. Mais avec quels risques cyber ?

Quelques 8 millions de Français ont été brusquement convertis au télétravail. Pour 42% d’entre eux, il s’agissait d’une expérience inédite au sein d’entreprises qu’ils jugeaient peu ou pas préparée dans 78% des cas[1]. Les premières semaines du télétravail ont ainsi été marquées par de nombreuses difficultés : outils d’échanges non adaptés dans 58% des organisations, matériel inadéquat dans 46% des cas ou encore collaborateurs non formés dans 33%[2]. Si seule une petite minorité des entreprises (moins de 10%) n’auraient selon leurs collaborateurs pas réussi à s’adapter[3], pendant plusieurs semaines, une entropie non négligeable aura régné dans cette nouvelle frontière pour l’entreprise.

Or, le désordre en matière de numérique est porteur de risques, d’autant plus lorsque les usages se densifient dans un environnement peu ou pas maîtrisé et que la porosité entre usages privés et professionnels augmente. Dès le 16 mars, le gouvernement aura ainsi alerté les entreprises d’un risque accru de malveillance cyber, tout en rappelant les bonnes pratiques[4]. Il faut dire que les menaces dans le cyberespace ne se sont pas confinées, le coronavirus ayant lui-même servi d’appât à des campagnes d’hameçonnage via des mails falsifiés de l’OMS, de banques ou de l’administration fiscale. De même, le recours accru, y compris pour des usages professionnels – faute d’outils dédiés – à des solutions vidéos non sécurisées a fait florès. La plateforme Zoom, dont le nombre d’utilisateurs quotidiens est passé de 10 millions fin 2019 à quelques 200 millions dans les premières semaines du confinement[5], a ainsi fait l’objet de critiques quant à la protection et à la confidentialité des données qui y circulaient. De fait, conséquence d’une fausse manipulation ou de failles dans ces logiciels, des “passagers clandestins” parvenaient parfois à rejoindre les réunions, pour les espionner ou les perturber. Le Premier ministre britannique en a lui-même fait les frais, en publiant une capture d’écran d’une réunion menée sur Zoom sur laquelle figurait son identifiant personnel. Résultat, des milliers de britanniques auraient cherché à rejoindre la réunion dans les heures qui ont suivi.

De tels exemples de fragilités dans le cyberespace, mis en avant lors de la crise, pourraient se multiplier. Bien évidemment, les entreprises, qui disposaient déjà d’une culture numérique importante, d’une cartographie des risques et des outils et du matériel adaptés, avaient un avantage certain sur celles qui n’auront eu que le temps de s’adapter dans la précipitation à une brutale crise. Il n’est toutefois pas trop tard pour bien faire, d’autant que les bons réflexes ne servent pas qu’en temps de crise ! Ils ne sont pas non plus l’apanage des plus grandes entreprises, le risque cyber touchant toutes les entreprises quel que soit leur taille (plus de 40% des TPE et PME ont déjà fait l’objet d’attaques informatiques[6]). De nombreux guides de bonnes pratiques, disponibles sur le site de l’Agence nationale de la sécurité des systèmes d’information par exemple, pourront utilement contribuer à cet objectif.

Et l’administrateur dans tout ça ? C’est à lui de convertir cet élan numérique forcé en une véritable politique cyber maîtrisée et durable. La question du risque cyber semble très inégalement traitée par les conseils d’administration. Le sujet serait discuté au sein de moins d’un conseil sur dix sur le périmètre du SBF120 et moins d’un sur trente pour les midcaps[7]. Si les comités spécialisés, à l’image des comités d’audits et des comités des risques, peuvent utilement adresser cette question, ce sujet mériterait d’être abordé régulièrement en conseil pour sensibiliser l’ensemble des administrateurs. On ne peut dès lors que recommander à un administrateur de demander son inscription à l’ordre du jour !

[1] Terra Nova, La révolution du travail à distance, Enquête #Montravailàdistance, Jenparle », 2020

[2] ANDRH, Enquête Flash, Les (D)RH face à la crise du COVID-19, 2020

[3] Terra Nova, La révolution du travail à distance, Enquête #Montravailàdistance, Jenparle », 2020

[4] Voir à cet effet le site cybermalveillance.gouv.fr

[5] Le Monde, La fulgurante ascension de l’application Zoom freinée par des failles de sécurité, 7 avril 2020

[6] CPME, La cybersécurité des entreprises de moins de 50 salariés, 2019

[7] Labrador, Ethics&Boards, EY, Panorama de la gouvernance 2019, 2019

Revenir à notre actualité