[PAROLES D’EXPERTS]
Les cyberattaques, cela n’arrive pas qu’aux autres !

Laurent Colas, associé du GROUPE AURYS, Expert-comptable et Commissaire aux Comptes au sein du cabinet d’Oyonnax, a eu le plaisir d’échanger et d’apporter des solutions sur la cybercriminalité avec Sylvain Lartaud pour Le Progrès.

La cybercriminalité à l’encontre des acteurs économiques est une menace largement exposée dans les médias. En effet, les attaques dont sont victimes les grands groupes (ou les organismes publics comme récemment les hôpitaux) sont dévoilées au grand jour.

Toutefois, l’actualité ne présente qu’une partie émergée de l’iceberg : l’absence d’indicateurs fiables sur les actes de malveillance subis par les TPE/PME ne doit pas faire oublier qu’elles sont aussi concernées par ces risques. En effet, elles ne sont pas à l’abri de ce fléau.

Etant moins outillés et sensibilisés à cette préoccupation, les chefs d’entreprise de TPE/PME sont moins bien armés pour lutter efficacement contre ces cybermenaces. Quelque peu délaissées par les spécialistes en sécurité informatique, les TPE/PME souffrent également d’un déficit d’accompagnement dans leur transition numérique et donc dans la mise en place d’une cybersécurité adaptée. Or, les attaques sont toujours plus complexes et agressives. Les conséquences peuvent alors se révéler dévastatrices.

Pourtant, les TPE/PME représentent un maillon clé de l’activité économique avec plus de 3 millions de structures en France. Dans ce contexte, il est nécessaire, voire urgent, de les sensibiliser sur le sujet, d’instaurer et de renforcer la sécurité de leur système d’information.

Quels sont les risques que courent les chefs d’entreprises ?

Selon le dernier baromètre de la CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), plus d’une entreprise sur deux a été victime de cybercriminalité au cours de l’année 2021. Les principales menaces sont le phishing (73 %) et l’exploitation de failles de sécurité (53 %).

D’après le Data Breach Investigations Report de l’entreprise Verizon, 94 % des logiciels malveillants sont délivrés par e-mail. Les différents types de menaces par e-mails sont principalement : le spam, le phishing, le spear phishing (ou « fraude au président »).

Les conséquences pour les entreprises peuvent être notamment : indisponibilité du site internet, arrêt de la production, perte de chiffre d’affaires, détournement de fonds pouvant aller jusqu’au dépôt de bilan… Et l’impact peut être bien plus dramatique si cela touche la réputation/l’image de l’entreprise car qui confierait ses données à une entreprise qui n’est pas capable de les conserver/sécuriser ?

Comment s’en prémunir ?

En matière de cybersécurité, « le maillon faible se situe entre la chaise et le clavier ». En effet, 85 % des violations sont causées par une erreur humaine comme l’ouverture d’un e-mail frauduleux ou d’une pièce jointe corrompue par exemple (cf. en fin d’article « Quelques bons réflexes pour se prémunir du phishing/smishing »). L’Agence de cybersécurité civile française (ANSSI) incite les entreprises à mettre en œuvre les 5 mesures préventives prioritaires ci-dessous afin de limiter la probabilité d’une cyberattaque ainsi que ses potentiels impacts :

Renforcer l’authentification (mots de passe) sur les systèmes d’information interne et externe

Exemple : Bruno est comptable dans une entreprise. Il consulte régulièrement les comptes de son entreprise sur le site mis en ligne par sa banque. Par facilité, il a choisi un mot de passe simple car il le retient plus facilement. C’est la date de naissance de sa fille et le prénom de sa femme : « 09092009Simone ». Ce mot de passe a été découvert facilement par un cybercriminel et l’entreprise s’est fait pirater son compte bancaire.

Accroître la supervision de sécurité

Illustration : Comme sur le tableau de bord d’une voiture/d’un avion, des voyants informent le conducteur/pilote des anomalies. En matière de cybersécurité, un système de supervision des événements journalisés doit être mis en place. Il permettra de détecter une éventuelle compromission/intrusion et de réagir le plus tôt possible. Cela évitera la casse moteur ou le crash de l’entreprise.

Sauvegarder hors-ligne les données et les applications critiques

C’est à dire : Adeline a cliqué par inadvertance sur un lien d’une page infectée. Un programme malveillant s’est alors installé automatiquement sur son ordinateur. Malgré les sauvegardes régulières, elle n’a pas pu récupérer ses données/fichiers car elle ne s’était pas assurée du bon fonctionnement de celles-ci. Sauvegarder c’est essentiel, les tester c’est vital !

Établir une liste priorisée des services numériques critiques de l’entité

Quésako : Il est conseillé de réaliser un inventaire des services numériques indispensables à l’entité et de les lister par sensibilité pour assurer la continuité d’activité de l’entreprise. Cela revient à avoir un « kit de survie » pour permettre la continuité/redémarrage de l’entreprise en cas de cyberattaques ?

S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque

Mais encore… : Une cyberattaque peut avoir un effet déstabilisateur une entreprise. Les fonctions « support » comme la téléphonie, la messagerie mais aussi les applications « métier » peuvent être mises hors d’usage. Il s’agit alors de passer en fonctionnement dégradé et dans certains cas (extrêmes), cela signifie revenir au papier et au crayon. Un comble dans notre ère du tout numérique !!

Les chefs d’entreprise sont invités à télécharger le support publié sur le site de l’ANSSI ci-après :

https://www.ssi.gouv.fr/uploads/2022/02/20220226_mes ures-cyber-preventives-prioritaires.pdf

L’ANSSI met également à disposition des supports gratuits et très pédagogiques pour informer/sensibiliser les chefs d’entreprise (et ses collaborateurs) disponibles via le lien suivant :

https://www.cybermalveillance.gouv.fr/tous-nos[1]contenus/actualites/liste-des-ressources-mises-a[1]disposition

La fiche intitulée « Les 10 mesures essentielles pour assurer votre sécurité numérique » est une très belle illustration de la qualité des supports émis par cette instance indépendante.

Pour aller plus loin, il est recommandé de s’assurer de la bonne mise en place des mesures de sécurité présentées dans le guide d’hygiène informatique de l’ANSSI pour renforcer la sécurité du système d’information de l’entreprise.

Pour les petites entreprises qui n’ont pas forcément la possibilité d’investir dans une cybersécurité qui peut s’avérer coûteuse, il convient de respecter à minima les 3 règles d’or suivantes :

1. Disposer et avoir une politique de mots de passe « robustes »,

2. Sécuriser & tester régulièrement ses sauvegardes,

3. Se munir d’antivirus/d’antispam régulièrement à jour et actif (et faire de même avec les systèmes d’exploitation et les logiciels utilisés).

Il est également possible de souscrire un contrat de cyber-assurance après avoir au préalable définit la typologie/le périmètre des risques assurables (vol, détérioration, destruction, interruption des services, pertes/reconstitution données internes & externes…) et analysé les offres disponibles (couverture des dommages, préjudices occasionnés aux tiers…).

Illustration : Un fabricant de jouet est en infogérance et réalise exclusivement ses ventes sur internet. Il subit une panne à l’approche des fêtes de Noel à la suite d’une cyberattaque du type « déni de service ». Le contact/support technique (maintenance) est injoignable : congés de fin d’année oblige !! Résultat des courses, les salariés du fabricant sont donc dans l’impossibilité de travailler pendant plus de 48 heures. Les frais engendrés pour récupérer les données et assurer les commandes du site internet auraient pu être couverts s’ils avaient mis en place un plan d’assurance sécurité adapté.

Quels sont les inconvénients de la cybersécurité ?

Les inconvénients mis en avant par les chefs d’entreprises sont essentiellement les coûts de mise en place et de maintenance d’une cybersécurité pour une menace qui reste souvent abstraite (voire invisible) pour eux. Il n’est pas rare que les chefs d’entreprise estiment également que la cybersécurité ne les concerne pas, compte tenu de leur taille par rapport aux grandes entreprises ou que leur secteur d’activité n’intéresse pas selon eux les hackers.

Ils pensent parfois à tort qu’ils sont à l’abri de toutes cyberattaques. Mais cela n’arrive pas qu’aux autres !!

En effet selon le dernier rapport d’activité de la CNIL, les PME et les micro-entreprises représentent 69 % des notifications de violations de données personnelles notamment liées à du piratage informatique, 25 % correspondent aux ETI (Entreprises de Taille Intermédiaire) et 6 % aux grandes entreprises.

Les experts-comptables ont notamment un rôle d’alerte et de sensibilisation vis-à-vis des chefs d’entreprise.

Quel est le rôle que jouent les Experts-Comptables auprès des chefs d’entreprise ?

Vous l’avez compris, la cybersécurité est donc désormais un enjeu de taille qui fait évoluer la mission de l’Expert-Comptable, qui joue désormais un rôle fondamental de prévention dans la lutte contre la cybercriminalité. Par sa bonne connaissance de son client et sa bonne compréhension des procédures et des systèmes, il met en évidence les enjeux et les zones de risques des entreprises en faisant preuve de scepticisme professionnel permanent.

La cybersécurité n’est pas qu’une affaire de moyens techniques et de procédures. Pour être optimale, elle doit être identique à une approche qualité et l’ensemble des acteurs de l’entreprise doit être impliqué (experts-comptables, chefs d’entreprise, salariés/collaborateurs, informaticien « maison » ou prestataires externes…).

L’Expert-Comptable n’est pas seulement qu’un « lanceur d’alerte » vis-à-vis des chefs d’entreprise. Après avoir sensibilisé son client sur les risques de cyberattaques, il peut en effet l’accompagner en établissant un diagnostic de cybersécurité afin de mettre en avant les points forts et les axes d’amélioration de son organisation actuelle.

Après avoir effectué ce diagnostic, il peut lui proposer des recommandations et des actions concrètes comme la mise en place d’une charte informatique afin d’adopter/d’encadrer les bonnes pratiques/habitudes de travail et pour que celle-ci soit opposable à ses collaborateurs/salariés en cas de fautes et/ou de mauvais usages des outils informatiques de l’entreprise.

Illustration : Bertrand, commercial dans une entreprise de négoce, va quotidiennement sur les réseaux sociaux pour relater ses journées avec ses clients et ses collègues. Il vient d’annoncer sur Twitter que son entreprise est en train de se faire racheter et a juste oublié qu’il s’agissait d’une information confidentielle à ne pas divulguer… L’existence d’une charte d’utilisation des réseaux sociaux, annexée à la charte informatique, aurait permis certainement de sensibiliser Bertrand, de limiter ce type de risques et de permettre au chef d’entreprise de sanctionner « légalement le salarié fautif ».

Mais encore… pour en savoir plus

● Les 10 mesures essentielles pour assurer votre sécurité numérique : www.cybermalveillance.gouv.fr

● Site de l’ANSSI : www.ssi.gouv.fr

● Statistiques disponibles sur : www.ndnm.fr/statistiques-cybersecurite-2022/

Conclusion

« Si vous pensez que la technologie peut résoudre tous vos problèmes de sécurité, alors vous ne comprenez ni les problèmes, ni les technologies… »

Bruce SCHNEIR

C’est la raison pour laquelle la cybersécurité est plus que jamais l’affaire de tous. Avec la généralisation à moyen terme de la facturation électronique pour toutes les entreprises (quelle que soit leur taille), cela va engendrer un accroissement des flux informatiques venant de l’extérieur et va mécaniquement augmenter/multiplier les risques de cyberattaques des entreprises qui devront alors renforcer leur cybersécurité.

Le monde change, le groupe AURYS est là pour vous accompagner. Alors n’hésitez pas à faire appel à nous !!


AUTEUR :

Laurent COLAS

Expert-comptable et Commissaire aux comptes

Espace Client
Contact