Les entreprises appelées à se prémunir contre la cybercriminalité

Avec la démocratisation d’Internet, la cybercriminalité a évolué et prend désormais plusieurs formes. Les solutions de protection ne suffisent pas, une vraie stratégie de cybersécurité est nécessaire.

Les TPE-PME constituent aujourd’hui la cible de prédilection des cybercriminels. A la différence des grandes structures, ces entreprises ne disposent pas le plus souvent d’un DSI. Encore moins de process de formation et d’information leur permettant de prévenir efficacement les invasions virales et autres intrusions par voie numérique. Le phénomène est à portée internationale. En france, le baromètre du Club des experts de la sécurité de l’information et du numérique (CESIN) indique que 80% des entreprises interrogées ont été confrontées au problème au cours de 2016. Pourtant, seule une PME sur quatre a engagé une démarche de gestion des risques liés à la cybercriminalité d’après une étude de la même année menée par un assureur.

Au Maroc, en l’absence de statistiques officielles, ce sont les industries de la transformation et le secteur financier (banques et assurances) qui seraient les plus exposés, à en croire les statistiques de Kaspersky Lab parus en 2016. A eux seuls, ils représentent plus de 45,5% des secteurs ciblés par les attaques. Ils sont suivis de l’information et la communication avec 18,6%.

En général, le secteur privé et surtout les petites et moyennes entreprises restent relativement en retard en matière de stratégie, de formation et de sensibilisation à la cybersécurité à cause de multiples facteurs. Pas seulement la faiblesse ou l’inexistence de budgets attribués à la sécurité des systèmes d’information ou à la protection des données personnelles et professionnelles, mais également l’absence d’une culture de cybersécurité.

Avec la montée en puissance d’Internet et des NTIC, la cybercriminalité a évolué et prend dorénavant plusieurs formes. Selon les spécialistes, une simple clé USB, configurée de façon spécifique et laissée à l’abandon, suffira à faire télécharger un virus sur un ordinateur. La manœuvre suffit à pirater le cœur des données informatiques d’une entreprise.

Autre arnaque qui peut être extrêmement préjudiciable est dite «l’arnaque au président», qui permet au cybercriminel, armé d’une connaissance de la structure cible (organigramme, etc.), et d’une argumentation pointue, d’obtenir ce qu’il souhaite. À partir de l’obtention d’un mot de passe, il peut ainsi réaliser des délits, dont des virements à distance… Ceci, sans parler des consignes téléphoniques anonymes (mais toujours bien renseignées), passées aux directions comptables et financières, afin de déclencher des mouvements de comptes…

Aussi, le «Ransonware» ou «rançongiciel» est très utilisé. En 2012, McAfee, une société internationale dédiée à la sécurité des terminaux à distance, répertoriait déjà quelque 120 000 échantillons de ce type de virus, téléchargés dans les systèmes informatiques des entreprises, qui peuvent crypter les données comptables des sociétés. Pour débloquer la situation, les cybercriminels exigent le paiement d’une rançon afin d’obtenir la clé de chiffrement.

Face à cette menace de plus en plus pesante, l’enjeu pour les TPE/PME est d’engager des actions anticipatrices des risques, de respecter des règles de vigilance accrues et de suivre une pédagogie ciblée sur la cybercriminalité dans les entreprises.

Autrement dit, se doter d’une stratégie de cybersécurité. Cette dernière étant l’ensemble des moyens techniques, organisationnels, juridiques et humains mis en place pour conserver, rétablir, et garantir la sécurité des systèmes informatiques.

Avec la démocratisation d’internet et des objets connectés, la transformation digitale de l’entreprise devient incontournable pour répondre aux attentes des clients. Le marché marocain n’échappe pas à cette tendance, comme en témoigne, à titre d’exemple, l’augmentation de 52% des paiements par Internet au cours du 1er semestre 2017. Dans certains cas, cela peut pousser les entreprises à démultiplier les recours aux services cloud et à l’externalisation d’une manière générale. Cette évolution digitale est malencontreusement un parcours semé de menaces cybercriminelles. L’actualité récente montre à quel point des campagnes au Ransomware, des fraudes au Président, des attaques persistantes avancées ou des fuites d’informations peuvent mettre en difficulté toute entreprise : pertes financières directes, impacts sur l’image de marque, poursuites judiciaires ou pénalités réglementaires. La prévention contre la cybercriminalité est, de facto, une préoccupation majeure de toute entreprise en pleine transformation digitale. Dans leur résistance face aux cybercriminels, nombreuses sont les entreprises qui se limitent aux solutions techniques, généralement basiques, de sécurité informatique : antivirus, sécurité réseaux, pare-feu, contrôle d’accès… Ce sont des briques nécessaires, certes, mais loin d’être suffisantes. Une gouvernance efficace de la sécurité de l’information doit en premier lieu prendre en compte le contexte, les enjeux et les orientations de l’entreprise. Ensuite, il est primordial d’adopter une approche de gestion des risques tout en gardant les besoins métier au centre de la réflexion. C’est à partir de cette analyse que l’entreprise pourra définir les mesures techniques et organisationnelles à mettre en place pour atteindre des niveaux de sécurité et de risques encourus acceptables. La menace cybercriminelle étant de plus en plus avancée techniquement et ciblant le facteur humain, les mesures de sécurité doivent s’articuler autour des axes de prévention, détection, réaction et sensibilisation. Concernant l’externalisation de services, elle peut constituer à la fois une source de risques et un moyen de les traiter : une source de risques lorsque celle-ci n’est pas correctement maîtrisée et un moyen de traitement des risques lorsqu’elle est assurée par des fournisseurs avec un niveau adéquat de sécurité. Cela doit être garanti en prenant en compte les aspects sécurité dans le choix des fournisseurs, une bonne maîtrise par clauses contractuelles et un suivi du bon respect des engagements et des obligations réglementaires. Société Générale Maroc a adopté une telle démarche pour garantir la sécurité de son système d’information et la maîtrise des risques. Ce dispositif doit être sans cesse maintenu dans une optique d’amélioration continue, tout en accompagnant la transformation digitale des produits et services bancaires fournis aux clients particuliers, professionnels et entreprises.