L’essor de la digitalisation des entreprises expose de plus en plus les entreprises aux risques cyber trop souvent sous-estimés par les entrepreneurs. Dans le cadre de son partenariat avec Microsoft et AXA France, Réseau Entreprendre® a demandé à Philippe Limantour, directeur technologique et cybersécurité chez Microsoft et Thierry Piton, souscripteur expert Cyber Risques chez AXA France, de répondre à nos questions afin de nous éclairer sur les risques actuels et les bons réflexes à avoir pour y faire face.
Philippe Limantour, pouvez-vous nous présenter les risques cyber auxquels les entreprises sont confrontées aujourd’hui ?
Les petites et moyennes entreprises se pensent trop souvent à l’abri des attaques alors qu’elles sont vulnérables et ciblées. On observe une recrudescence majeure de cyberattaques qui frappent aussi bien les grands groupes que les TPE qui sont de plus en plus numérisées et donc exposées à ce risque.
Plus de 12 000 entreprises sont venues chercher de l’assistance sur la plateforme gouvernementale Cybermalveillance.gouv.fr en 2022. Ces recherches d’assistance ont porté principalement sur des faits d’hameçonnage (27%), de piratage de compte en ligne (22%), d’attaque par rançongiciel (19%) et de fraude au virement/FOVI (8%). Cela corrobore les principaux risques soulignés dans notre rapport annuel Microsoft Digital Defense Report (MDDR) qui mentionne aussi une menace grandissante ciblant les appareils connectés à Internet, comme les thermostats intelligents, les caméras de surveillance et les assistants vocaux.
Les entreprises sous-estiment souvent le risque d’être victimes d’une demande de rançon, d’un vol de données sensibles ou d’une indisponibilité des équipements, ce qui peut entraîner une interruption de leur activité et des pertes de chiffres d’affaires. De plus, la reprise de l’activité peut s’avérer longue et coûteuse, et parfois même conduire à la faillite. Les conséquences en termes de réputation, d’image de marque et de responsabilité juridique sont importantes et les entreprises qui ne protègent pas suffisamment leurs données sont passibles d’amendes en vertu de la réglementation GDPR.
Thierry Piton, face à la multiplication des cyberattaques quels peuvent être les enjeux financiers et assurantiels pour les entreprises et leur activité?
Les enjeux sont très importants car une cyberattaque a des impacts lourds et multiples sur l’entreprise. Ces impacts sont tout d’abord d’ordre financier car l’entreprise va faire face à des frais conséquents d’expertise et de reconstitution de son SI mais aussi et surtout à une perte d’exploitation car son activité sera arrêtée puis ralentie pendant une durée qui se compte en jours voire en semaines. Une communication mal gérée auprès des clients et partenaires de l’entreprise peut également entacher sa réputation et limiter son développement à terme. Enfin, les impacts peuvent être d’ordre réglementaires (en cas de violation de données personnelles) et mettre en jeu la responsabilité de l’entreprise.
Face à de tels enjeux, un dirigeant d’entreprise doit placer le risque cyber en haut de l’échelle des risques et superviser sa gestion. Cela passe par une identification des actifs critiques de l’entreprise, puis par la mise en œuvre et le pilotage d’une stratégie de cybersécurité adaptée. L’assurance cyber est un maillon essentiel de ce dispositif.
Thierry Piton, quels peuvent être les conséquences pour une entreprise face à une non prise en compte du risque cyber ? Quels conseils pouvez-vous leur donner ?
Une non prise en compte du risque cyber expose l’entreprise à une crise à court terme avec des impacts très importants comme nous l’avons vu précédemment, qui peuvent malheureusement la conduire au dépôt de bilan.
Le premier conseil à donner à un dirigeant de PME/PMI est de commencer par mettre en place les mesures d’hygiène informatique préconisées par l’ANSSI, qui vont lui permettent de bâtir un socle de cybersécurité de base. Ce socle va réduire la probabilité de survenance d’une cyberattaque et limiter son impact mais le dirigeant doit également anticiper et se préparer à cet évènement qui se produira nécessairement un jour ou l’autre.
Le second conseil est de s’assurer. En cas de cyberattaque, l’assurance cyber apportera au dirigeant l’assistance immédiate d’experts dans différents domaines (cybersécurité, juridique, communication) pour gérer la crise et protègera le bilan de l’entreprise à travers l’indemnisation du sinistre.
Philippe Limantour, les PME/PMI n’ont pas toujours un personnel dédié à la cybersécurité, quelles actions de prévention peuvent-elles mettre en place dans leur entreprise pour se prémunir et en limiter l’impact ?
Au-delà d’expert(e)s en sécurité qui font souvent défaut aux PME, les actions de prévention et d’acculturation aux risques de Cybersécurité y sont souvent insuffisamment développées.
Il est conseillé de disposer à minima d’un référent en charge du sujet et de prévoir un accompagnement par des professionnels de la sécurité pour auditer les risques et mettre en place des politiques et des procédures de sécurité informatique. Ces politiques et procédures doivent être mises à jour régulièrement et doivent aller au-delà du pur aspect technologique pour inclure des mesures telles que la formation du personnel, la mise en place de contrôles d’accès, la mise en œuvre de bonnes pratiques, et l’adaptation des processus. C’est avant tout une affaire de sensibilisation et de culture du risque Cyber. Il est important que les dirigeant(e)s de PME le réalisent et se forment, sans attendre.
Chez Microsoft nous pensons que la complexité est l’ennemi de la sécurité et les PME ont besoin de solutions simples et économiques pour se protéger, c’est pourquoi nous proposons des solutions intégrées et faciles à mettre en œuvre au travers d’un réseau maillé de partenaires de proximité.
Philippe Limantour, en cas d’attaque, quels sont les points de vigilance qu’un chef d’entreprise doit appliquer ? Puis après l’attaque, que doit faire un entrepreneur pour éviter une nouvelle attaque ?
Il s’agit d’abord de s’y préparer avec l’état d’esprit qu’on va subir une attaque un jour ou l’autre. Les procédures de surveillance et de gestion des incidents doivent être mises en place pour détecter et réagir rapidement aux tentatives d’intrusion et aux incidents de sécurité. Lors d’une intervention à un congrès de PME, notre Président Brad Smith a donné 4 conseils aux dirigeants de petites entreprises :
- Maintenez vos logiciels à jour avec les derniers correctifs de sécurité
- Renforcez vos mots de passe en utilisant notamment des mots de passe forts et uniques
- Considérez migrer vers le Cloud
- Tirez parti des outils et ressources mis à votre disposition (ex. guide pratique pour le PME de Cybermalveillance, outil de diagnostic par ex. outil d’évaluation de la Cyber) pour comprendre votre risque cyber
(source Microsoft’s Brad Smith Shares Four Cybersecurity Tips for Small Businesses | LinkedIn)
Nous recommandons aussi aux PME de protéger les comptes d’administration en s’assurant qu’ils ne disposent pas de comptes de messagerie et en filtrant la navigation sur Internet de ces comptes.
C’est une première étape mais il est recommandé de se faire accompagner par des professionnels. La plateforme gouvernementale Cybermalveillance.gouv.fr référence plus de 800 prestataires de proximité. Il existe un réseau de 10 000 partenaires Microsoft en France qui peuvent aussi vous accompagner.
Pour finir, il est essentiel d’avoir un plan de sauvegarde pour assurer la reprise de l’activité dans les meilleurs délais.
Thierry Piton, selon votre expérience quels sont les réflexes à avoir pendant mais aussi après la cyberattaque ? Quelle expertise l’assureur peut-il apporter aux entrepreneurs, notamment pour éviter les attaques suivantes ?
Il est important de réagir le plus tôt possible en décelant les indices de compromission qui montrent qu’une cyberattaque est en cours. Le premier réflexe est alors de déconnecter du réseau la machine suspecte sans l’éteindre ni la redémarrer pour préserver les preuves numériques. Le second reflexe est d’appeler son assureur pour lancer l’intervention immédiate d’un expert qui va accompagner la mise en place des premières mesures d’urgence puis coordonner la phase de remédiation et de reconstruction du SI. Enfin, il faudra déposer plainte, et notifier la CNIL en cas de violation de données personnelles dans un délai de 72h.
L’assureur a un rôle très important à jouer en termes de prévention car nous formulons des recommandations après sinistre mais nous conseillons également les entreprises en amont de la souscription. Chez AXA France, nous avons ainsi négocié avec des partenaires une offre de services à tarifs préférentiels (audit de cybersécurité, mise en place d’un plan de reprise d’activité, exercices de crise cyber…) visant à corriger les faiblesses et à améliorer la résilience de nos clients.