Pourquoi la cybersécurité est une priorité business comme les autres ?

Pas de transformation numérique sans cybersécurité

La crise sanitaire a marqué un grand coup d’accélérateur pour la transformation numérique des entreprises françaises.

Ainsi, 66% des TPE et des PME possèdent aujourd’hui un site web, contre 37% avant la crise⁽²⁾.

En parallèle, le nombre de sites e-commerce en France a progressé de 12%⁽³⁾ entre 2020 et 2021. Cette digitalisation a permis à de nombreuses entreprises de faire face à la crise, à l’instar des nombreux commerces qui ont lancé leur site marchand sur cette période.

Par ailleurs, 68% des Français⁽⁴⁾ se sont essayés au travail hybride en 2021. Les entreprises ont donc dû adapter leur environnement numérique en conséquence : sans surprise, l’usage des solutions collaboratives a augmenté de 44%⁽⁵⁾ depuis le début de la crise sanitaire.

Cette digitalisation opérée à marche forcée est finalement devenue une formidable opportunité de croissance pour les entreprises. En plus de la diversification des canaux de vente et de communication, elles ont appris à interconnecter leurs systèmes pour générer et valoriser leurs données.

Inévitablement, cette transformation numérique a aussi décuplé les risques d’exposition aux cybermenaces. Les collaborateurs utilisent davantage de terminaux (PCs, tablettes, smartphones personnels et professionnels), davantage de connexions (bureau, domicile, tiers-lieux), et utilisent toujours plus d’outils (visioconférence, messaging, partage de fichiers) pour échanger des volumes de données toujours plus conséquents.

La surface d’attaque a donc considérablement augmenté pour les cybercriminels. Résultat : 54% des entreprises françaises⁽⁶⁾ ont été victimes d’au moins une tentative de cyberattaque en 2021. Si la cybersécurité est parfois vécue comme un ensemble de contraintes techniques ayant un coût important, elle est en réalité un investissement devenu primordial qui garantit la pérennité de l’entreprise.

Les conséquences des cyberattaques sur le business d’une entreprise

Une cyberattaque peut avoir de multiples conséquences sur le business d’une entreprise. L’un des principaux risques est de subir une interruption forcée de son activité.

Par exemple, les attaques par ransomwares peuvent provoquer une interruption partielle ou totale des opérations d’une entreprise. Récemment, Toyota a ainsi été contraint de mettre à l’arrêt 14 usines, soit 28 lignes de production, à cause d’un rançongiciel. Dans le domaine de la vente en ligne, une attaque DDoS peut entraver la disponibilité d’un site marchand pendant plusieurs heures ou jours. De fait, les pertes financières d’une interruption d’activité peuvent être très lourdes.

Le vol de données constitue une autre menace importante. Un hacker qui parvient à s’infiltrer dans le SI d’une entreprise - par exemple en exploitant une faille zero-day ou en parvenant à mettre la main sur les identifiants d’un salarié - peut en extraire des informations extrêmement sensibles. Par exemple, des informations relatives à la propriété intellectuelle ou données des clients peuvent être subtilisées à des fins d’espionnage économique ou pour être revendues au plus offrant. Une telle fuite de données peut se révéler dramatique pour le business d’une entreprise.

D’autre part, le fait d’être victime d’une cyberattaque peut dégrader l’image de marque de l’entreprise. Une telle situation peut altérer la confiance accordée par les clients et les partenaires. Un incident de sécurité engendre donc souvent des frais relations publiques et de marketing pour minimiser l’impact de l’attaque sur le business de la marque à court et à long terme.

À cela s'ajoutent des coûts relatifs à l’enquête technique, à la sécurisation des données post-incident, ou encore aux honoraires d’avocat et de frais de justice. Un acte cybercriminel peut ainsi, dans le pire des cas, mettre l’entreprise en situation de cessation de paiement.

Pourquoi intégrer la cybersécurité au cœur de son business ?

Contrairement aux apparences, la cybersécurité ne doit pas seulement être l’affaire du département IT. La cybersécurité est désormais un enjeu primordial et indispensable des clients, des prospects, mais aussi des partenaires. Elle doit être traitée comme telle à l’échelle de l’entreprise en étant intégrée au cœur de son business.

Créer un climat de confiance

La cyberattaque qui a mis à l’arrêt les lignes de production de Toyota… ne visait en réalité par Toyota, mais l’un de ses fournisseurs, Kojima Industries. Le système informatique de ce fournisseur a été infecté par un virus complexe, de type rançongiciel. Kojima Industries n’étant plus en mesure de garantir la sécurité de la production des pièces détachées habituellement livrées à Toyota, la firme automobile japonaise a été contrainte de mettre ses usines à l’arrêt par mesure de précaution.

Une cyberattaque peut donc toucher, par ricochet, plusieurs entreprises. Ainsi, chaque organisation doit prendre ses responsabilités en matière de cybersécurité, afin de créer un climat de confiance à l’échelle de l’écosystème.

Dans certains secteurs d’activité, à l’instar de l’industrie ou de la santé, la cybersécurité est déjà devenue une condition indispensable à toute relation commerciale. Par exemple, il est impensable pour un hôpital de nouer un partenariat avec une solution technologique qui pourrait constituer une porte d’accès aux données de ses patients.

Aujourd’hui, tout partenariat incluant une dimension technologique doit être considéré comme un potentiel cheval de Troie. C’est pourquoi les exigences des entreprises envers leurs partenaires et fournisseurs en sont de plus en plus fortes en matière de cybersécurité. Ce phénomène s’étend aujourd’hui à tous les secteurs. Ne pas adopter de protection cyber peut ainsi coûter cher : pertes d'appels d'offres, baisse de la compétitivité, perte de confiance de la part des clients et des partenaires…

La première étape est donc de se mettre en conformité à la législation en vigueur. Il convient ensuite d’être proactif en adoptant des solutions de cybersécurité robustes, en chiffrant ses données de bout-en-bout ou encore en réalisant des tests d’intrusion cyber.

Chaque action menée protégera davantage l’entreprise et ses partenaires. Se montrer digne de confiance en matière de cyber est désormais indispensable pour entretenir de bonnes relations commerciales avec son écosystème.

Intégrer la cybersécurité à la culture de l’entreprise

En matière de cybersécurité, l’humain est souvent le maillon faible. Usurpation d’identité, envoie de pièce-jointe infectée… les hackers ne manquent pas d’idées pour tromper leurs victimes.

De fait, il est crucial de sensibiliser chaque collaborateur aux pratiques de bonnes pratiques numériques, afin qu’ils puissent être en mesure d’identifier facilement toute tentative de cyberattaque, mais aussi d’éviter des erreurs humaines regrettables.

Pour se protéger encore davantage, les entreprises peuvent adopter une politique de sécurité “by design”. Cette approche consiste à intégrer la notion de sécurité et de gestion des risques dans le développement de chaque nouveau produit, système ou application. Des scénarios sont établis en fonction des risques identifiés pour réduire les conséquences de potentiels incidents de sécurité. Enfin, cette démarche permet également de générer une confiance, créatrice de business, auprès des clients et des utilisateurs.

La cybersécurité est désormais indissociable des enjeux business. S’il appartient à chaque entreprise de prendre ses responsabilités pour protéger son écosystème, il est important de privilégier les partenaires qui prennent, eux aussi, les mesures adéquates en la matière.

Se faire accompagner par des spécialistes de la cybersécurité est une étape indispensable pour auditer, renforcer et tester son niveau de défense face aux cybermenaces.