Pourquoi transformation numérique et cybersécurité sont-elles indissociables ?

Dans leur course à la transformation numérique, les entreprises cherchent à gagner en efficacité opérationnelle et en compétitivité. Mais elles oublient parfois que cette digitalisation peut potentiellement ouvrir des brèches dans leur système de sécurité. L’augmentation des échanges de données et la complexité croissante des interactions rendent en effet les processus de sécurité traditionnels moins efficaces et augmentent d’autant les risques en matière de cybersécurité en entreprise. Aujourd’hui, une transformation numérique réussie est une transformation qui prend en compte la sécurité des données et des systèmes.

Des cyber risques induits par la transformation numérique des entreprises

L’utilisation des technologies digitales est devenue un enjeu fondamental pour améliorer les performances de l’entreprise. Elles permettent de gagner en productivité, en réactivité, d’apporter plus d’agilité, de simplifier les reportings, de donner une meilleure visibilité sur les chiffres de l’entreprise… Les effets sont très avantageux, au point d’en oublier parfois les risques.

Des cybermenaces variées et de plus en plus nombreuses

Quelles que soient les sources des études, les chiffres révèlent tous la même chose : les actes de cyber malveillance sont en forte augmentation.

• La plateforme cybermalveillance.gouv.fr a ainsi enregistré 173 000 demandes d’assistance pour des cyberattaques en 2021, soit 65% de plus que l’année précédente.

• L’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information) a recensé 1 082 intrusions au sein de systèmes d’informations en 2021, soit 37% de plus qu’en 2020, dont 69% ont visé les entreprises.

• La CNIL (Commission Nationale de l’Informatique et des Libertés) annonce avoir reçu 5 037 notifications de violations de données personnelles en 2021, soit 79% de plus qu’au cours de l’année précédente…

Concrètement, les entreprises engagées dans une transformation numérique peuvent avoir affaire à trois types de menaces :

• La cybercriminalité (fraude, rançongiciels, vols de données et chantage ou revente)
• L’espionnage (vols de savoir-faire et de technologies)
• La déstabilisation (sabotage, entrave au fonctionnement, atteinte à l’image)

Tout type de victimes visées

Ces menaces visent tout type d’organisation, des grands groupes aux collectivités territoriales, en passant par les établissements de santé ou encore les TPE-PME. Ces dernières sont d’ailleurs souvent visées en tant que porte d’entrée de grands comptes avec qui elles sont connectées dans les chaînes d’approvisionnement (fournisseurs, prestataires de services...). Elles constituent de fait un moyen d’entrée plus vulnérable pour pénétrer les systèmes informatiques des grandes entreprises.

Une professionnalisation de la cybercriminalité

Parallèlement à la généralisation des usages numériques en entreprise, force est de constater une amélioration constante des capacités des acteurs malveillants. La cybercriminalité s’organise et devient un véritable business, s’alimentant des énormes gains d’argent engendrés par des attaques de plus en plus sophistiquées. Elle est favorisée par le niveau de protection souvent insuffisant mis en place dans les entreprises qui doivent impérativement se saisir du sujet.

La cybersécurité, indispensable pour répondre aux risques de la transformation numérique

Même si la cybercriminalité est souvent difficile à identifier, les entreprises doivent s’adapter et se doter de solutions pour s’en prémunir. Elles peuvent notamment mettre en place plusieurs actions qui limitent les risques :

Choisir des produits « secure by design »

On parle de « secure by design » (« sécurité par la conception ») pour les produits dont la sécurité et la notion de risque sont au cœur de leur conception, par exemple pour un logiciel ou un objet connecté. Le produit est mieux protégé de potentielles menaces en réduisant les risques de failles dès le départ. Il peut s’agir d’implémenter des dispositifs de surveillance, des tests, des procédures de sauvegarde dès la création des logiciels et des équipements pour renforcer leur « immunité » à toutes sortes d’attaques. L’entreprise n’agit pas dans ce cas une fois la défaillance réalisée, mais en prévention des risques.

Sécuriser les accès distants avec un VPN

Avec la crise sanitaire et l’accélération du développement du télétravail, les entreprises ont dû faciliter rapidement l’accès aux données de leurs collaborateurs à distance, risquant par la même occasion de fragiliser leurs systèmes informatiques. Le VPN (Virtual Private Network) répond à cette problématique en sécurisant les connexions depuis l’extérieur grâce à un dispositif d’authentification évolué et au chiffrement des données.

Mieux protéger les données des terminaux informatiques

Ordinateurs portables ou fixes, tablettes, smartphones, montres connectées… tous ces appareils informatiques utilisés par les collaborateurs de l’entreprise sont vulnérables aux cyberattaques. Il est donc impératif de mettre en œuvre des mesures de sécurité approfondies pour ces terminaux à travers des pare-feu élaborés (anti-virus, anti-intrusion, anti-spam, filtrage d’emails…). L’accès aux terminaux doit également être verrouillé à l’aide de mots de passe robustes, avec un système d’activation automatique en cas d’inactivité de plusieurs minutes.

Former son personnel à la cybersécurité

L’humain ne doit pas être le maillon faible de la sécurité informatique. Situé en première ligne, il peut au contraire constituer un rempart efficace face aux cyber risques. À condition toutefois d’avoir été sensibilisé à ces enjeux et formé correctement. Mené auprès de l’ensemble des équipes, et non pas seulement des collaborateurs à risques, ce travail peut prendre plusieurs formes : une charte informatique pour partager les bonnes pratiques, des sessions d’e-learning à suivre à son rythme pour chaque collaborateur, des formations de groupe pour partager son expérience, des tests et quiz, des sessions de live-hacking pour simuler une attaque…