Rejoignez-nous sur les réseaux sociaux !

La cyberattaque, risque numéro 1 des entreprises

Sans surprise, la cybersécurité suivie de la mise en conformité seront, en 2019, les deux principales priorités des entreprises publiques et privées. Une tendance confirmée par la dernière enquête de l’ECIIA (Confédération européenne des instituts d’audit interne) publiée en septembre. Basé sur les réponses de 300 professionnels de l’audit, travaillant dans différentes organisations européennes, l’étude « Risk in Focus » cartographie les risques et met en lumière l’importance de sécuriser les systèmes d’information et ses relations avec les tiers notamment dans le cadre du GDPR.

 

Qu’on la nomme cybersécurité, sécurité des SI, sécurité de l’information ou autrement, la nécessité de défendre les réseaux et les données qui s’y trouvent fait désormais partie du paysage des entreprises européennes. Ainsi pour les 2/3 des experts sondés (66%), les « organisations de plus en plus connectées doivent particulièrement être vigilantes aux risques de piratage ou défaillances des systèmes numériques. » Car, poursuit l’étude, même si les entreprises s’efforcent de se défaire de leurs vieux systèmes, l’approche fragmentée des entreprises de la planification et du développement de l’infrastructure de leur système d’information a laissé des systèmes décloisonnés et des réseaux partiellement verrouillés, hérités d’une période où les cyber risques étaient faibles.

 

« Dans un monde post GDPR, les organisations font face à une difficulté majeure : la manière dont elles ont développé et géré leurs infrastructures informatiques ces dernières décennies – au coup par coup, en silos, à une époque où les risques étaient faibles – rend plus difficile leur supervision globale, aujourd’hui pourtant incontournable pour une gestion efficace de la cybersécurité.

Les entreprises doivent dorénavant réorganiser leur gouvernance pour sécuriser l’ensemble de leurs systèmes informatiques en prenant en compte les infrastructures de l’ensemble des intervenants de leur chaîne d’approvisionnement, internes comme externes. » Jean-Marie Pivard, Président de l’IFACI.

 

Les Fournisseurs

Au sein des organisations, l’étude souligne que « les premières étapes de migration des anciens systèmes (Windows 98, NT et 2000, Internet Explorer 7,8,9,10) et de rationalisation des infrastructures des systèmes d’information sont en cours ».

Parallèlement, les organisations ont compris l’importance des tests de pénétration et de l’ethical hacking (hacking éthique). C’est pourquoi, l’attention se porte désormais sur la robustesse de la protection des tiers (fournisseurs, prestataires). Désormais la force des organisations se « mesure au niveau du maillon le plus faible de leurs chaînes d’approvisionnement » souligne l’enquête.

En 2017 :

56% des organisations ont été touchées par une faille provenant d’un de leurs fournisseurs. Soit une hausse de 6% par rapport à l’année précédente.

L’utilisation de virus a augmenté de 200% pour infiltrer les logiciels de gestion de la chaîne logistique des entreprises.

Le coût des dommages causés par des cyberattaques devrait doubler entre 2015 et 2021 pour atteindre 6000 milliards de dollars.

Schéma illustrant le nombre d'entreprises ayant subi une cyberattaque en 2017

Le cloud

L’intégrité des services intégrés dans le cloud est un autre élément à prendre en compte car, de plus en plus, les entreprises confient leurs actifs vitaux à des fournisseurs ou partenaires technologiques. Pour des raisons de réduction de coûts, de matériels, de travail à distance ou encore d’agilité, la migration des services et des données devient monnaie courante. Alors que les fournisseurs de cloud (Google Cloud Platform, AWS, Azure) emploient les meilleurs experts afin d’assurer la sécurité de leurs plateformes, Microsoft rapporte que le nombre d’attaques sur le compte cloud de ses clients avait été multiplié par 4 en 2017.

Microsoft a remarqué que les menaces résultaient principalement de :

  • Mots de passe vulnérables (faciles à deviner, mal gérés)
  • Hameçonnage ciblé (Phishing)
  • Intrusion chez des tiers

FedEx a perdu 300 millions de dollars de chiffre d’affaires en 2017 car ses données ont été volées sur un serveur hébergé par Amazon. Après enquête, il a été démontré que le serveur cloud n’était pas protégé par un mot de passe…

GDPR et Tiers

Depuis le 25 mai 2018 et l’entrée en vigueur du règlement européen sur la protection des données personnelles, le responsable de traitement et le sous-traitant sont co-responsables en cas de violation de données.

Concrètement le régulateur peut, en plus d’infliger une sanction, stopper tout traitement.

 

Ce que l’étude recommande :

En interne

  • Mettre correctement en place les dispositifs essentiels au niveau des pare feu
  • Sécuriser les configurations
  • Gérer les patch
  • Gérer les accès et habilitations
  • Protéger contre les virus malveillants
  • Identifier les tiers chargés des principaux services informatiques
  • Contrôler et évaluer régulièrement les tiers
  • Détection en continu des failles

Gestion des tiers

  • Vérifier que les fournisseurs cloud respectent le GDPR
  • Exercer la clause d’audit pour tester la robustesse des systèmes de contrôle des tiers
  • Veiller sur la réputation des tiers
  • Évaluer les processus de diligence raisonnable

Menée pour la 3e année consécutive par 8 instituts européens d’audit interne membres de l’ECIIA (France, Allemagne, Italie, Pays-Bas, Royaume-Uni, Irlande, Suède, Espagne), l’étude « Risk in Focus » est disponible ici http://docs.ifaci.com/

Sur le sujet

Vers un Schengen de la donnée ?
Les megadonnées, moteur de croissance
Prédire la consommation d’un bâtiment : un beau challenge !
SAS AML : « la solution repose sur la méthode de contrôle du comportement client basée sur les risques »