Entreprise cybersécurité avocat : quels enjeux en 2023 ?
Entreprise cybersécurité avocat : un sujet de niche connu seulement par quelques hackers et informaticiens devenu une problématique globale touchant aussi bien les PME que les services publics. On estime d’ailleurs que dans les six prochaines années 50 % des grands groupes connaîtront une cyberattaque majeure et que 50% d’entre elles ne s’en remettront pas.
Récemment le Forum International Entreprise Cybersécurité 2022 et la 8ème édition des Rencontres Cybersécurité d’Occitanie ont réuni des entreprises et des collectivités pour évoquer les enjeux futurs en matière de cybersécurité. De ces rencontres a émergé un constat sans appel : “dans les prochaines années il n’y aura pas d’entreprise pérenne sans cybersécurité !”
C’est la raison pour laquelle il est aujourd’hui essentiel que les entreprises n’envisagent plus la cybersécurité comme une menace hypothétique mais comme un risque réel qu’il faut prévenir. Pour renforcer efficacement la cybersécurité des entreprises, trois thématiques ressortent : l’ingénierie sociale, les attaques techniques, la résilience.
L’ingénierie sociale : le danger se trouve entre la chaise et le clavier
En matière d’entreprise cybersécurité, il a été observé que la faille la plus récurrente vient de l’humain. Qui n’a jamais reçu un e-mail ou un sms d’un ami vous invitant à cliquer sur un lien suspect pour consulter une photo de vous, lien cachant en réalité un piratage par hameçonnage (phishing) afin de récupérer vos données personnelles (mot de passe, identifiant, adresse IP…).
Plus communément appelé piratage psychologique ou social hacking, l’ingénierie sociale consiste à manipuler l’humain pour réaliser une escroquerie. Dans le milieu professionnel, l’ingénierie sociale est particulièrement élaborée et cible le plus souvent les services comptables ou les services administratifs en demandant un accès informatique, des informations personnelles ou en envoyant des fausses factures sous l’e-mail d’un client, d’un sous-traitant ou d’un employé. La personne ciblée va alors par abus de confiance, permettre au pirate informatique d’infiltrer le système de l’entreprise ou de dérober une somme d’argent sans que la DSI ne soit informée.
La pandémie et l’augmentation du télétravail a également servi de tremplin pour les cyberattaques par ingénierie sociale, lorsque le salarié est connecté sur son wifi personnel avec la DSI qui ne peut intervenir rapidement sur le poste de travail, la moindre erreur humaine peut avoir des conséquences dévastatrice pour la sécurité informatique de l’entreprise.
Pour lutter contre ce type d’attaque, il est essentiel pour les entreprises de former leurs équipes à la cybersécurité en mettant particulièrement l’accent sur les corps de métier les plus ciblés par ce type d’attaques. Il est également possible de tester ses équipes avec un test d’intrusion (pentest) réalisé par des entreprises spécialisées chargées de simuler une attaque phishing.
Les attaques techniques : conserver la compétence sur ses données en entreprise
Au-delà de l’aspect humain, il convient également de sécuriser les systèmes informatiques du point de vue technique. Il existe aujourd’hui un florilège de types de cyberattaques comme les attaques par déni de service (Dos), l’installation de malwares ou encore les rançongiciels (ransomware). Et pour les prévenir, il est essentiel d’avoir des personnes habilitées à y faire face, si possible en interne (RSSI, responsable SOC, responsable CSIRT, etc…) et un plan de crise bien huilé.
Bien sûr, la prévention technique à un coût considérable pour les petites et moyennes entreprises c’est pourquoi il est recommandé aux chefs d’entreprises d’estimer la valeur de leurs possessions et de leur attribuer un niveau de protection adapté. Puis, d’analyser les risques et enfin de veiller à limiter la portée de l’attaque.
Toutes ces contraintes mènent certaines entreprises à externaliser leur cybersécurité afin de réduire les coûts, mais il ne faut pas oublier qu’externaliser sa cybersécurité c’est transmettre des données sensibles à un tiers en lui donnant accès à des fonctions vitales pour l’entreprise. Ainsi il est essentiel de veiller à coopérer avec des partenaires de confiance et de prévoir une bonne gestion des contrats d’externalisation. En cas de fuite de données ou de cyberattaque, c’est ce contrat qui pourra protéger l’entreprise contre la mise en cause de sa responsabilité.
Autre point sensible, l’externalisation des infrastructures dans le cloud. Avec l’explosion du télétravail, de plus en plus d’entreprises utilisent des services d’hébergement de données “hors site”, afin de permettre aux salariés d’accéder à leur espace de travail dématérialisé depuis chez eux. Les données de l’entreprise sont alors transférées vers des datacenter qui sont également en proie aux cyberattaques. Afin de translater efficacement les mesures de cybersécurité de l’entreprise, il est nécessaire de privilégier les hébergeurs dont la société mère est basée en Europe et qui sont donc soumis au Règlement Général sur la Protection des Données (RGPD).
Entreprise cybersécurité et résilience : Que faire lorsqu’il est déjà trop tard ?
Il n’est jamais possible d’anticiper toutes les failles de sécurité informatique et tôt ou tard une entreprise fera probablement l’objet d’une fuite de données. Cependant il est possible de réduire considérablement les dégâts d’une attaque en ayant correctement anticipé la gestion de la cellule de crise.
Afin de réagir efficacement le jour où une cyberattaque surviendra, il est nécessaire de mettre en place une procédure de gestion de crise visant à coordonner des équipes variées dont les périmètres d’action peuvent être d’ordre technique ou stratégique. Dans ce type de procédure, il est nécessaire de mettre l’accent sur la communication, non seulement en interne mais également en externe avec les clients, les partenaires et les autorités. Une attaque cyber mènera nécessairement à une rupture de service et il n’est pas bénéfique de tenter de dissimuler un tel évènement. Au contraire, rassurer et informer régulièrement ses partenaires est la clé d’une reprise d’activité sans perte de confiance.
En interne, la gestion de crise peut être un évènement déroutant voire traumatisant pour les salariés. Une cyberattaque peut amener les salariés à se demander combien de temps l’activité sera interrompue, si cela va impacter leur travail ou encore s’ il y a un risque pour leur emploi dans le cas où la crise ne serait pas résolue. C’est pourquoi gérer l’humain est au cœur de la gestion de crise, il faut prendre en compte la charge mentale que cela implique sur les équipes lors de crises qui durent plusieurs jours voire plusieurs semaines. Certaines entreprises prévoient dans leur protocole de crise des taxis pour les salariés qui doivent rentrer tard ou arriver tôt le matin ou encore des bonbons à disposition dans la cellule de crise.
Enfin, pour renforcer la résilience d’une entreprise, l’Anssi recommande la mise en place d’une simulation de cyberattaque avec toutes les équipes concernées. Un tel exercice permet de sensibiliser en interne mais aussi de rassurer son écosystème sur les capacités de l’entreprise à éprouver de telles crises.
Pour finir, comme l’a souligné Jean Paul Laborde, ancien secrétaire adjoint aux nations unies : “Sur le plan judiciaire il est essentiel que les auteurs de telles attaques soient condamnés”. La cybercriminalité est aujourd’hui la forme de crime organisé la moins réprimée du fait de la difficulté d’identifier les auteurs. Ainsi, lors d’une cyberattaque, il est essentiel sur le plan juridique de récolter un maximum de données permettant d’identifier les auteurs et de faire la liaison avec la gendarmerie et le procureur de la République. Sans responsabilité les attaques cyber continueront à se multiplier.
Par Anna PLOIX, juriste
A propos du cabinet Legal Brain Avocats
Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.
Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, entreprise cybersécurité avocat et bien d’autres.
Nos services :
- Réalisation de notes juridiques
- Notes d’intelligence juridiques
- Communication pour des cabinets d’avocats
- Elaboration d’outils technologiques utiles pour le droit
- Litiges, conseils, corporate, rédaction d’actes
Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr.