De Sony Pictures, au Ministère de la Défense, en passant par la chaîne de télévision France 3, plus récemment, l’actualité le rappelle sans cesse, les cyber-risques sont devenus menaces. Plus de 400 milliards de dollars dérobés en 2014 dans le monde, un chiffre qui pourrait atteindre 3000 milliards d’ici à 2020 selon le Forum économique mondial.

Passée à un stade industriel, la cybercriminalité transpose dans le monde électronique les crimes économiques classiques, en les accélérant et les amplifiant.

Extorsion, chantage et usurpation d’identité défraient la chronique. Mais ils masquent également d’autres incidents moins médiatiques mais tout aussi dommageables pour les entreprises et les organisations, tels que les dénis de services, le blocage de sites ou la saturation de serveurs. Techniques et discrètes, ces actions délibérées constituent néanmoins un risque critique touchant au cœur de leur activité et de l’économie numérique.

Des mesures conjointes entre le public et le privé

Cependant, les acteurs publics et privés s’activent en misant sur la prévention et la coopération. Les autorités judiciaires françaises et européennes n’ont de cesse d’enrichir un arsenal législatif très complet. En amont, à l’instar de l’ANSSI, de la CNIL, des centres d'alerte et de réaction aux attaques informatiques (CERT) ou du Conseil de l’Europe, un écosystème d’anticipation et d’information guide les entreprises et les organisations dans l’élaboration d’une politique de sécurité.

Tandis que pour la répression, les cyber-policiers traitent un nombre croissant d’affaires. De nombreuses entreprises ont déjà saisi l’ampleur du risque, mais ce n’est pas le cas de toutes.

Ainsi, 47% d’entre elles n’ont encore jamais réalisé d’analyse de sécurité de leur système d’information (SI). Dans le même temps, 25 % des entreprises européennes auraient déjà fait l’objet d’un vol de données.

Pour les plus impliquées, les cabinets d’avocats et les départements juridiques élaborent des réponses et constituent des preuves pour poursuivre un cyber-crime… ou se retourner contre un sous-traitant. La responsabilité est aussi un risque.

Un corpus législatif opérationnel mais contraignant

Le parapluie de l’arsenal juridique protège, mais impose en retour une obligation aux organisations de protéger leurs données. La question est brûlante, en particulier pour les dirigeants d’entreprise qui risquent pénalement 5 ans de prison et 300 000 euros d’amende pour une douzaine de délits, dont la négligence ou non-déclaration d’un incident de sécurité.

L’internet, le cloud et les terminaux mobiles ont rendu mouvant le périmètre des entreprises et imposent une politique de sécurité, et en premier lieu, une cartographie des risques.

En profondeur, la notion d’accountability - soit la capacité à démontrer la mise en place de procédures pour anticiper et gérer les incidents - s’impose en matière de stratégie de sécurité à mi-chemin entre politique de qualité et culture du risque.

Mettre en œuvre les bons processus de sécurité

A l’instar de toute démarche qualité, la politique de sécurité des systèmes d’information (SSI) questionne toute l’organisation et doit, pour réussir, être soutenue au plus haut niveau.

Les SI doivent garantir des environnements de qualité avec des logiciels et des applications bien développés, sans bogues, qui sont autant de failles de sécurité potentielles. Les métiers et le juridique doivent vérifier et négocier en amont de chaque contrat que les obligations de sécurité sont respectées.

Enfin, un audit régulier des prestataires devient une priorité. Les directions orchestrent le tout et définissent des procédures de sécurité en veillant à ce qu’elles soient intégrées dans les pratiques et les consciences au quotidien. Dans ces conditions, 80 % des cyber-risques peuvent être éliminés.

Informer, sensibiliser, former

« 90% des incidents de sécurité sont d’origine humaine et ne mettent pas en cause l’environnement technique » affirment les experts. C’est pourquoi comme un second volet à la fusée de la sécurité, la sensibilisation et la formation des utilisateurs s’avèrent un enjeu primordial. Qu’il s’agisse du citoyen, du consommateur ou du collaborateur, les pouvoirs publics et les acteurs économiques attendent une prise de conscience individuelle.

Dans les entreprises, des solutions techniques légères existent pour sécuriser les pratiques telles que la gestion des identités, l’automatisation de création de comptes avec des autorisations paramétrées ou l’anonymisation des bases de données. Mais l’adhésion de tous à la sécurisation des environnements électroniques va devenir un thème récurrent de communication interne et de formation.

L’hygiène informatique doit s’imposer dans les esprits comme l’ont compris les autorités européennes en lançant le Mois européen de la cyber-sécurité.

La sécurité au service de l’innovation

Une certitude pour les années à venir : les cyber-risques et les cyber-crimes iront croissant, tout comme la détermination des acteurs publics et privés à lutter contre le phénomène. Le succès de l’économie numérique est à ce prix. Mais seule une culture du risque et de la prévention sera à même de protéger durablement les organisations, les entreprises et les utilisateurs. La sécurité est une valeur d’avenir, et qui saura la garantir en tirera les bénéfices.