La cyberattaque n’est plus un risque mais une réalité. Soyez prêt !

Après l’hôpital de Corbeil-Essonnes fin août, c’est au tour de la Mairie de Caen de faire l’objet d’une cyberattaque. Aucune structure n’est épargnée.

Les chiffres parlent d’eux même. En 2021, la CNIL a reçu 5.037 notifications de violation de données personnelles, en lien direct avec les cyberattaques, soit une hausse de 79 % sur un an.

Dans son dernier rapport annuel, elle le rappelle : quelle que soit la taille des sociétés, TPE, PME ou Grands Groupes, elles sont toutes concernées. Ce constat s’applique d’ailleurs à tout type de structures : associations, organismes publics…

Dans ce contexte et au regard de l’actualité, anticiper s’avère essentiel.

Alors comment sensibiliser ses collaborateurs et se préparer à une telle intrusion dans son système informatique, afin de limiter les risques et les conséquences négatives sur votre activité ?

Les cyberattaques, dont les plus fréquentes sont les attaques par rançongiciel, mettent souvent en lumière la question du paiement de la rançon demandée par les cyberattaquants.

Mais s’il s’agissait seulement de la partie émergée de l’iceberg…

Outre les demandes de rançon, les conséquences d’une cyberattaque peuvent être plus insidieuses. Une cyberattaque touche le système d’information mais a des impacts bien au-delà en termes de productivité, de visibilité et de réputation de votre entreprise lorsqu’une telle faille est révélée, que ce soit vis-à-vis de vos clients, de vos partenaires ou de vos salariés.

C’est la partie immergée de l’iceberg, bien trop souvent ignorée. Comment travailler sans système informatique ? Comment facturer sans logiciel de comptabilité ? Quelle image est véhiculée auprès des clients dont les données personnelles peuvent se retrouver en accès libre ? Quel est le coût réel d’une telle situation en dehors même de la possible rançon demandée ?

Autant de questions qu’il convient d’anticiper, de documenter et de préparer.

Sensibiliser et former ses équipes est un prérequis qui permettra peut-être de l’éviter mais également de gagner du temps le jour de la survenue d’un tel incident.

Avoir une bonne connaissance et maitrise de son système d’information, auditer ses contrats informatiques et challenger ses prestataires sur les aspects de cybersécurité sont également des points saillants pour se sécuriser a minima.

Par ailleurs, votre société doit réfléchir à une procédure à suivre en cas de violation de son système d’information, que des données personnelles soient concernées ou non. Il s’agira par exemple de définir une short list des référents à contacter tant en interne (directeur informatique, directeur juridique…) qu’en externe (cyber pompier, avocat…), déterminer la liste des personnes à convoquer dans une cellule de crise (celles qui ont le pouvoir de décision et d’engagement de la société) et mobilisables à tout moment, ou encore d’identifier les contrats essentiels pour votre société et la poursuite de son activité (prestataires informatique, assurance, principaux clients…)…

De manière plus pragmatique, certains de ces points sont généralement identifiés lors de la mise en place d’un plan de continuité ou de reprise de l’activité (PCA /PRA). Si tel n’est pas le cas, c’est l’occasion d’en définir un et de gérer les sauvegardes en amont pour permettre une reprise rapide et efficace de l’activité. Se préparer, documenter et anticiper, permet d’affronter une cyberattaque de manière organisée et « rationnelle », et ainsi de limiter ses conséquences lorsqu’elle se produira.

Attention toutefois. Une cyberattaque, ne prend pas uniquement la « forme » d’un cyberpirate tranquillement installé derrière son ordinateur à l’autre bout de la planète, ce peut aussi être l’un de vos salariés qui perd ou se fait voler son ordinateur mal sécurisé ou qui introduit une clé USB non protégée dans votre système d’information. Une cyberattaque c’est également une usurpation de l’identité du PDG de la société pour exiger en urgence un virement important (plus connue comme la « fraude au président »).

Des équipes sensibilisées, une politique interne de sécurité formalisée et un accompagnement au quotidien par des professionnels qualifiés, c’est autant de chances de limiter les impacts sur votre société dans l’hypothèse où celle-ci serait victime d’une telle attaque.