Dans un univers professionnel digitalisé, la cybercriminalité est aujourd’hui un danger qui pèse lourd sur les entreprises. Pour y faire face, la France fait régulièrement évoluer sa réglementation afin d’accompagner et inciter les acteurs économiques à agir. Un expert de Hub One, un acteur de référence en matière de cybersécurité pour les entreprises, a pointé sur le blog de l’entreprise les deux armes principales pour lutter contre la cybercriminalité : la prévention et la transparence. Ainsi, Marco Pasqualotto, Directeur Juridique & Règlementaire et DPO de Hub One, opérateur expert en cybersécurité pour les entreprises, analyse ces évolutions et prodiguent des conseils pratiques pour toujours mieux se protéger face aux menaces.
À l’ère où les technologies numériques occupent une place omniprésente dans notre quotidien, la cybersécurité doit devenir un élément central dans leur usage. Les cyberattaques en milieu professionnel explosent. Il n’est donc plus possible d’ignorer la réglementation applicable en la matière. Un expert Hub One, Marco Pasqualotto, nous invite à découvrir comment la réglementation s’adapte pour accélérer la mise en sécurité des systèmes informatiques et exiger plus de transparence en cas d’attaque. Il fournit par la suite quatre conseils pratiques permettant aux entreprises de faire rempart contre les menaces cyber.
Les cybercriminels sont légions en France, et attaquent fort, allant même jusqu’à cibler des services essentiels. Selon l’ANSSI, le nombre de victimes de ransomware a été multiplié par quatre en un an. Pas moins de 27 attaques de centres hospitaliers sont recensées en 2020. « Les cyberattaques sont suffisamment lucratives pour intéresser le crime organisé, et celui-ci dispose des moyens financiers nécessaires pour élaborer des stratégies d’intrusion sophistiquées. Personne n’est à l’abri », déplore l’expert.
De par leurs ressources financières, les cybercriminels s’organisent : multiplication du nombre de relais, chiffrage de communication, nœuds de relais redondants et échange d’ordre entre ces derniers… Les coupables brouillent les pistes et leur identification est de plus en plus difficile. Selon le professionnel, « malgré la compétence, les efforts et les moyens mis en œuvre par les forces de police, il serait illusoire de compter sur l’arrestation de tous les acteurs malveillants et leur condamnation pour réduire le nombre des attaques ».
Les dommages liés aux attaques informatiques engendrent également un coût mondial colossal. Les pertes financières devraient atteindre 6 000 milliards de dollars rien qu’en 2021. « Les cyberattaques peuvent aussi créer des pertes d’activité, menacer la réputation d’une organisation, provoquer le vol ou la destruction de données sensibles, faisant perdre à l’entité ses avantages concurrentiels. L’enjeu est désormais celui de la pérennité de l’entreprise », indique-t-il.
Face à ce constat, la France change de stratégie et mise sur la prévention. « Quitte à utiliser l’argument financier pour inciter les organisations à modifier rapidement leurs usages en matière de cybersécurité », développe le professionnel. En effet, ce grand danger implique une grande responsabilité collective. « Toute entité qui utilise un système d’information insuffisamment sécurisé peut voir sa responsabilité engagée en cas d’intrusion. Les sanctions sont de plus en plus nombreuses, notamment en cas de violation de données à caractère personnel », souligne l’expert Hub One. Les amendes peuvent aller jusqu’à 4% du chiffre d’affaires annuel de l’entreprise touchée.
Un grand danger nécessite également de communiquer si l’on est touché par ce dernier. Le principe de transparence s’étend progressivement à un nombre d’acteurs économiques de plus en plus large. Marco Pasqualotto signale que « toute entité traitant des données à caractère personnel est tenue d’informer la CNIL dans les 72 heures en cas de violation de ses données. Si la violation est susceptible d’engendrer un risque élevé pour les droits et les libertés d’une personne physique, ou si elle est subie par un opérateur télécom ou un FAI, les personnes concernées doivent également être informées, individuellement, dans les meilleurs délais ».
Nous sommes donc tous concernés par cette question de cybersécurité. Il est nécessaire de prendre conscience des dangers, de les analyser, puis de réagir en conséquence. De par son expertise, Marco Pasqualotto livre quatre conseils pratiques aux entreprises afin de lutter au mieux contre ces cyberattaques.
« Les textes de loi relatifs à la cybersécurité sont nombreux, ce qui rend l’analyse du cadre réglementaire global de plus en plus complexe », reconnaît-il. Toujours dans cette idée de responsabilité collective, il importe que les DSI collaborent avec des juristes ou avocats spécialisés. Ces derniers pourront apporter leur éclairage sur les obligations légales de l’entreprise en matière de cybersécurité.
Avant de partir au combat, il est nécessaire d’évaluer ses forces et ses faiblesses. Effectuer un audit permet de réaliser le niveau de maturité en matière de cybersécurité de l’entreprise. Selon l’intervenant, « les tests d’intrusion (Pentests) sont un moyen sûr d’apprendre rapidement de ses erreurs et d’acquérir les bons réflexes de base pour éviter d’ouvrir la porte aux cybercriminels ».
« Le Référentiel Général de Sécurité (RGS) constitue un guide de bonnes pratiques, conformes à l’état de l’art, pour toute organisation souhaitant sécuriser ses systèmes d’information et échanges électroniques », continue-t-il. 5 règles à appliquer dans 5 domaines sont intégrées : la description des étapes de mise en sécurité, la qualification des produits de sécurité et des prestataires de service de confiance, la cryptologie et la protection des échanges électroniques, la gestion des accusés d’enregistrement et de réception, et enfin la validation des certificats.
Il convient d’appliquer ces recommandations pour une protection informatique optimale. L’audit et les Pentests sont effectivement un premier moyen d’identifier les failles de sécurité. Cependant, et malgré les défenses érigées, « les cyberattaques peuvent survenir à tout moment. Réaliser, une fois prêt, une surveillance continue de ses actifs essentiels permet d’anticiper les attaques et pouvoir y réagir le plus rapidement possible », jugent l’expert Hub One. Le Security Operation Center (SOC), est un outil essentiel pour pouvoir répondre à ces problématiques.
Dans notre univers professionnel tout numérique, les cyberattaques pèsent de plus en plus lourdement sur les entreprises. Pour prévenir les risques, la France fait évoluer sa réglementation afin d’accompagner et inciter les entreprises à agir. L’évolution de cette réglementation force les organisations à sécuriser leur réseau et à faire preuve de davantage de transparence en cas de cyberattaque.