Gouvernance & Cybercriminalité : protection des données stratégiques et personnelles – Club HEC Gouvernance

0

Grâce aux outils d’HEC Alumni, à la permanence efficace d’Éric Viallatoux, aux compétences et à la motivation des membres du bureau HEC Gouvernance pour poursuivre l’activité du club pendant la crise de la Covid-19, nous avons organisé plusieurs webinars, dont celui du 6 mai, « Gouvernance & Cybercriminalité, protection des données stratégiques et personnelles » auquel ont participé 65 personnes.Ces événements « à distance » ont permis de maintenir le contact avec nos membres, de traiter des sujets majeurs pour les conseils d’administration et de répondre aux nombreuses questions posées.

Les dirigeants et administrateurs ont un rôle à jouer dans la lutte contre le crime informatique.

Profitant du bouleversement global, les cybercriminels multiplient leurs attaques contre les entreprises fragilisées : vol de données, extorsion de fonds, chantage, sabotage… Marie de Fréminville (H.86) et Marc Triboulet (E.04) d’HEC Gouvernance répondent aux questions que se posent les administrateurs : la cybersécurité est-elle un sujet purement technique ? Pourquoi les dirigeants en sont-ils responsables ? Comment le conseil d’administration peut-il contribuer à rendre un dispositif cybersécurité efficace ? Pourquoi la crise de la Covid-19 a-t-elle augmenté la surface d’attaque et les vulnérabilités ? Pourquoi ces polémiques liées aux outils de web-conférence ? Et si la prochaine crise était numérique ? Mieux vaut prévoir. En effet, « quand c’est urgent, c’est trop tard », comme disait Talleyrand.

La transformation numérique est nécessaire, mais elle fragilise nos entreprises.

Une attaque numérique peut avoir des conséquences tout aussi graves que la crise sanitaire pour une entreprise. La société Lise Charmel, attaquée fin 2019, est passée en redressement judiciaire. Pendant la crise, le rythme des attaques informatiques n’a pas ralenti, bien au contraire. Les criminels ciblent les hôpitaux et les organisations de santé, notamment pour collecter des données qui ont de la valeur sur le marché du « big data ». Plusieurs facteurs expliquent cette augmentation de la cybercriminalité.
• La surface d’exposition augmente. La population en télétravail est passée brutalement de 20 % à 60 %, accroissant la charge de travail des équipes informatiques dans un cadre de travail désorganisé. Les nouvelles attaques liées à la Covid-19 (malwares, attaques DNS, noms de domaines frauduleux, faux sites, spams, phishing, faux installeurs) ne sont pas toutes identifiées par les systèmes de sécurité. Par ailleurs, les comportements changent (l’horaire de travail, par exemple), ce qui crée des anomalies dans les systèmes de détection.
• L’utilisation d’ordinateurs personnels et du Wi-Fi domestique, de logiciels qui ne sont pas mis à jour (patchs de sécurité), et de connexions non sécurisées rend possible les vols ou pertes de données. Les données sont éparpillées, et les sauvegardes ne sont pas assurées selon les processus habituels ! L’état de confusion et d’anxiété des collaborateurs engendre des erreurs.
• Les outils de visioconférence sont utilisés dans des campagnes de phishing pour récolter les informations d’identification des utilisateurs, via des e-mails, ou encore un lien qui invite le destinataire à cliquer pour activer son compte et le rediriger vers une fausse page web afin qu’il saisisse ses identifiants. Par ailleurs, les niveaux de sécurité des plateformes sont très hétérogènes – consulter à ce sujet le site de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : ssi.gouv.fr.

La cybersécurité relève de la responsabilité des dirigeants et administrateurs.

Ils se doivent d’assurer la pérennité des organisations et de se positionner comme acteurs de confiance.La prise de conscience par les conseils d’administration des impacts d’une crise numérique est insuffisante, faute de compétences à bord. Seulement 1 % des administrateurs sont identifiés comme suffisamment informés et formés sur les cyber-risques.Les mesures à prendre sont du même ordre dans les domaines sanitaires et numériques : en termes de prévention (appliquer les règles d’hygiène, identifier les vulnérabilités et actifs critiques), de détection des signaux faibles (veille, supervision), de protection (organisation, formation, règles, processus et outils) et de réaction (restauration des systèmes et données, communication).L’espace cyber n’a pas de frontières et les virus peuvent se répandre rapidement. L’objectif de la cybersécurité n’est pas d’arrêter l’épidémie, mais de se préparer pour en limiter les impacts. « Si cela va sans dire, cela ira encore mieux en le disant », comme l’écrivait (encore) Talleyrand.