Cet été, en matière de cybersécurité, les entreprises doivent redoubler de vigilance ! Les escrocs ne partent pas en vacances et ils profitent de cette période de vulnérabilité pour multiplier les attaques.
Une étude sur la cybersécurité menée par Euler Hermes et la DFCG (source) est particulièrement éloquente à ce sujet : 30% des entreprises ont constaté une recrudescence particulière des attaques en période de congés, de week-end et de vacances.
Les arnaques les plus populaires sont notamment la fraude au faux fournisseur (54%), la cybercriminalité (50% dont 20% en ransomware), les autres usurpations d’identité (43%), la fraude au faux président (42%) et la fraude au faux client (35%).
Arrêter de croire que seuls les autres organisations sont concernées
Le premier bon réflexe à avoir pour être bien protégé est de faire preuve de lucidité : votre structure a déjà été visée par une attaque (même si vous ne l’avez pas détectée) ou, si ce n’est pas le cas, elle le sera très prochainement.
Les chiffres sont éloquents :
- 7 entreprises sur 10 ont été la cible des fraudeurs en 2018 (contre 4 sur 5 en 2017)
- 1 entreprise sur 3 n’a pas su se protéger face à l’attaque subie (contre 1 sur 5 en 2017)
- 1 entreprise sur 5 a été confrontée à plus de 5 tentatives de fraudes (10% en a subi plus de dix)
Concrètement, cela signifie que les cybercriminels se professionnalisent et qu’ils n’hésitent plus à multiplier les attaques afin d’atteindre leurs objectifs. Ils sont aussi devenus beaucoup plus patients : lorsqu’ils usurpent l’identité du président, d’un fournisseur ou d’un client, ils consacrent du temps à établir une réelle relation de confiance avec un des collaborateurs de l’entreprise afin de mener à bien leur opération frauduleuse.
Pourtant, les entreprises sont encore loin d’avoir pris la mesure de cette situation. Une étude publiée par PwC en mars 2018 (source) a notamment montré que les dirigeants admettent ne pas être assez « préparés pour affronter une crise Cyber ». Ils ont ainsi tendance à sous-estimer la menace « des concurrents », qui concerne pourtant un tiers des piratages externes, mais aussi leurs propres « vulnérabilités internes » alors que 32% des cyberattaques internes proviennent des fournisseurs de services et 30% des employés.
Renforcer les dispositifs de prévention
Les entreprises ont désormais intégré la nécessité de sensibiliser leurs équipes et de réaliser des formations en interne (87%). Le facteur humain est en effet fondamental : avoir les bonnes réactions au bon moment a ainsi permis de déjouer la moitié des tentatives de fraudes.
Pour être efficace, la prévention doit toutefois être :
- concrète : il faut montrer des exemples ou tester les réflexes des collaborateurs pour s’assurer que le message a bien été compris
- globale : elle doit concerner tous les employés, y compris ceux qui sont présents pour une courte durée (exemple : intérimaires, stagiaires), afin de limiter les risques au maximum
- adaptée aux usages mobiles : il est important d’adopter de bonnes pratiques sur les appareils personnels (ordinateur, tablette, smartphone) ou sur les outils professionnels utilisés en dehors des locaux.
En parallèle, alors que 80% des entreprises ont consolidé leurs procédures de contrôle interne, moins de la moitié d’entre elle (44%) ont pris la peine de réaliser un audit de leur système d’information et seulement 20% prévoient d’élaborer une cartographie des risques ou d’effectuer des tests d’intrusion.
Un autre pourcentage est encore plus alarmant : 57% des entreprises n’ont prévu aucun plan d’urgence pour réagir à une situation de fraude ! Comme elles ne sont de surcroît qu’une sur cinq à être assurée (ou à souhaiter s’assurer) contre le risque de fraude, on imagine sans peine l’ampleur de l’impact financier pour les structures victimes de cybercriminels.
A titre d’exemple, Guy Degeorges (DAF à temps partagé) rappelle que plusieurs milliers d’euros peuvent être perdus pour une simple pièce jointe frauduleuse contenue dans un e-mail.
Autant dire que l’argent investi dans la sécurité des données n’est jamais perdu !
L’avis de Laurent Brault, dirigeant de MDK Solutions
L’été est propice aux attaques pour une raison simple : le maillon faible n’est pas technologique mais « humain ». En été, la plupart des entreprises tournent à effectif réduit, et avec des renforts ponctuels. Dans ces conditions, les faiblesses sont accrues.
Il est primordial d’anticiper en faisant de la sensibilisation à tous les niveaux, de former les ressources ponctuelles même si cela semble coûteux.
Les dirigeants se trompent souvent à propos du retour sur investissement attendu. Ils considèrent généralement qu’il est beaucoup trop cher de consacrer du temps de formation à une personne ne restant que 2 mois dans l’entreprise. C’est une grossière erreur… Le coût sera nettement plus élevé si cette personne, après avoir été manipulée, devient le vecteur de sortie d’informations utilisées ensuite pour une attaque au PDG !
En conclusion, l’élan insufflé par la mise en conformité au RGPD doit être mis à profit par les DAF pour instaurer de bonnes pratiques de sécurité même l’été dans les entreprises.