Le montant des pertes estimées pour les entreprises touchées par une cyberattaque s’élèverait à 267 milliards d’euros ! C’est le résultat d’une étude réalisée par McAfee en 2011, qui ne tient compte que des victimes déclarées. Dans les douze derniers mois, 79 % des sociétés auraient connu une cyberattaque. Or, pour éviter de ternir leur e-réputation, elles sont nombreuses à ne pas porter plainte. Pourtant, les enjeux sont importants. Sony, par exemple, s’est fait dérober 75 millions d’informations personnelles sur ses clients en 2011, pour un coût, hors retombées en termes d’image, de 171 millions de dollars.
Déclaration de vol à la Cnil bientôt obligatoire
Les choses devraient changer avec l’évolution de la législation, “ puisque, dans deux ans, toutes les entreprises victimes d’un vol de données numériques devront le déclarer à la Cnil (Commission nationale de l’informatique et des libertés), prévient Mathieu Prud’homme, directeur du département contentieux du cabinet Alain Bensoussan Avocats. Dans le cas contraire, elles s’exposeront à des sanctions pénales. ” De plus, il semble nécessaire de prévenir les clients en cas de vol de données personnelles, car nombreux sont ceux qui n’utilisent qu’un seul mot de passe.Liberty Verny, fondateur et PDG du site marchand Bazarchic.com, est l’un des rares dirigeants à reconnaître que son entreprise a été victime de cyberattaques : “ Les systèmes proposés par les banques pour sécuriser les transactions, basés sur 3D-Secure, sont trop complexes et différents d’un établissement bancaire à l’autre. Certains internautes ne finalisent pas leurs achats avec ce système trop contraignant. Ce qui représente pour nous une baisse de 40 % des ventes. Nous avons donc décidé de ne pas utiliser cette méthode. ” Pourtant, avec des pics pouvant atteindre 3 % des achats effectués réglés avec des cartes bancaires volées, impliquant l’envoi effectif de la commande plus un remboursement ultérieur au véritable propriétaire de la carte, Bazarchic.com devait trouver une solution : “ Nous avons élaboré notre propre système d’expertise en interne, et nous sommes tombés à 0,2 % d’achats frauduleux. Notre système est fondé sur une typologie client en trois parties : client régulier reconnu, pas de contrôle ; client irrégulier, mais reconnu, étude de bon usage ; client nouveau, demande de feedback d’un tiers de confiance banquier afin de catégoriser la carte bancaire (noire, grise ou blanche) en complément de notre propre travail d’enquête en interne. ”Mais il n’y a pas que les sites marchands ou les grands comptes qui sont visés. “ Toutes les typologies d’entreprises sont susceptibles d’être victimes, quelles que soient la taille ou l’activité. C’est la compétitivité d’une société qui peut la rendre attractive pour une cyberattaque, explique le commandant Rémy Février, officier supérieur sous contrat de la gendarmerie nationale et expert de l’intelligence économique. J’ai vu une PME de 40 personnes dans le secteur de la pomme connaître une cyberattaque d’un concurrent. ”
La France manque d’une culture collective
Et, dans le domaine de la sécurité informatique, la France est moins bien armée que ses homologues étrangers. “ Le problème est culturel, pas technique ”, assure Rémy Février. Passivité face à une cyberattaque (pas de dépôt de plainte), vulnérabilité des systèmes d’information (SI) et insuffisance des protections quand elles existent constituent des problèmes récurrents. Selon Liberty Verny, “ tant qu’il n’y a pas eu de vol, les sociétés ne se sentent pas concernées, ou ne se donnent pas les moyens de se protéger ”.Et Rémy Février de poursuivre : “ L’absence d’une culture collective de l’information dans le cadre de la sécurité des données ? comme c’est le cas dans les pays anglo-saxons ?, la coupure entre public et privé, et la mauvaise préparation des dirigeants sont les vrais problèmes rencontrés en France. ” Volonté d’investir dans la sécurité des SI, mais surtout bonnes pratiques sont des éléments à travailler afin d’améliorer la sécurité des entreprises. Rémy Février rappelle d’ailleurs que 78 % des pertes de données proviennent d’indiscrétions verbales et de vols effectués par des anciens employés ou des sous-traitants.De cette plénière de l’IT for Business Forum consacrée à la cybercriminalité, il ressort qu’une entreprise ne doit pas essayer de sécuriser son SI dans son intégralité, ce qui est utopique, mais plutôt de définir ce qu’il faut protéger en priorité. Pour cela, elle mettra en place des niveaux d’accès, elle sensibilisera et responsabilisera ses collaborateurs.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
