Lors de la précédente décennie, nous avons assisté à une très forte augmentation de cyberattaques ciblant des entreprises de tous les secteurs et dans le monde entier. Aucune entreprise n’est à l’abri d’une attaque, mais beaucoup sont bien trop vulnérables car leurs investissements en la matière sont trop faibles. Et en réalité c’est un compte à rebours vers une faille d’envergure qui les attend si elles n’agissent pas en conséquence… Les pirates informatiques représentent une grande menace pour les données personnelles et professionnelles, et au cours de la décennie 2010, le nombre de cyber-attaques a augmenté de manière exponentielle. Aujourd’hui, le coût moyen d’une violation de données en 2020 s’établit à 3,6 millions d’euros en France.
Au-delà des coûts financiers, c’est aussi la perte de confiance générale qui peut impacter les entreprises, bien qu’aucune ne soit à l’abri de telles mésaventures. D’ailleurs elles sont parfois prises dans des cyberattaques qu’elles ne peuvent pas directement maitriser et anticiper. En effet, en décembre 2020, l’entreprise SolarWinds a été victime d’une cyberattaque à grande échelle à travers l’une de ses solutions, utilisée par plus de 33 000 clients à travers le monde dont des membres du Fortune 500, Microsoft ou encore Cisco. Des agences gouvernementales américaines font également partie de la liste des victimes de cette cyberattaque désormais connue comme étant l’une des plus spectaculaires jamais effectué.

Si l’on peut supposer que la plupart des utilisateurs ont aujourd’hui accepté le fait que tout le monde vit avec une épée de Damoclès au-dessus de sa tête, cette situation aussi anormale soit-elle, est tout de même devenue assez banale.

C’est la normalisation même de la cybermenace qui doit cesser. Il est temps de saisir cette occasion pour améliorer les connaissances, les processus, mais aussi construire des solutions technologiques de taille appropriée et utiliser les nouveaux outils et des techniques pour mettre à mal les menaces grandissantes.

En réalité, les chefs d’entreprise considèrent encore que la cybersécurité est plus un exercice de gestion des risques, sans saisir l’importance d’évaluer les risques et de protéger constamment l’intégralité de leur parc informatique. Ils ne comprennent pas que la détection minutieuse des menaces est primordiale et qu’il faut constamment y répondre. Il faut également améliorer continuellement les défenses et les mécanismes de protection en déployant des technologies de prévention des menaces prédictives, automatisées, intelligentes, d’autoapprentissage et en temps réel. Ce sont d’ailleurs les chefs d’entreprise qui sont le plus souvent pointés du doigt1 lorsqu’une cyberattaque apparait. Et les principaux accusés en ont parfaitement conscience.

Déjà en 2018, 63% des PDG disaient se sentir préoccupés par les cyberattaques qui avaient eu un impact négatif sur les prévisions de croissance de leur entreprise. C’est une statistique choquante sur la stratégie de cybersécurité et qui devrait expliquer l’ampleur du problème.

Bien sûr, la plupart des entreprises sont impuissantes à cause d’une pénurie de compétences. La bonne nouvelle, c’est que malgré le faible niveau de compétences en interne sur ces questions, les dépenses en matière de cybersécurité devraient fortement augmenter. Aujourd’hui, le coût total de la cybercriminalité pour l’économie dépasserait les 1000 milliards de dollars, soit 1% du PIB mondial. Le sujet prend tellement d’ampleur que Gartner estime que d’ici à 2025, 40% des conseils d’administration auront un comité dédié à la cybersécurité dans leur entreprise, soit une nouvelle Business Unit stratégique.

Placer la responsabilité de la question de la cybersécurité uniquement dans les mains des équipes informatiques est une erreur qui doit être rectifiée avant 2025. Les employés doivent également assumer leur part de responsabilité. Des changements profonds dans les comportements en ligne et la gestion des données personnelles sont nécessaires. Il est aussi recommandé de faire un audit sur les paramètres de confidentialités et les conditions générales des solutions mises en place par les entreprises. Il faut absolument impliquer l’ensemble d’une entreprise sur ces questions fondamentales et renforcer l’ensemble de la culture liée à la sécurité.

Les connaissances en matière de cybersécurité de manière globale sont très insuffisantes. Et avec des cybercriminels qui s’améliorent sans cesse, c’est problématique. Les entreprises doivent adopter une approche plus proactive que réactive. Sans cela, beaucoup vont vite se retrouver sur le carreau.

1 Etude Veritas de juin 2020 sur la responsabilité et les attentes des clients suite à une cyberattaque.