En 2019, au moins 9 entreprises sur 10 ont été touchées par une cyberattaque ou une tentative d’attaque. Le coût moyen de ces attaques a été évalué à plus de 1,3 millions d’euros pour une seule entreprise. Entre 2019 et 2020, en France, ces attaques ont augmenté de 255% , touchant aussi bien des ETI, des organismes publics ou des groupes du CAC 40.
La menace cyber est progressivement devenue l’un des risques majeurs pointés par les entreprises, mais à la différence d’autres nouvelles menaces comme le réchauffement climatique, peut-être plus abstrait et difficilement saisissable, la cybercriminalité peut être concrètement et efficacement adressée. Il est pour cela indispensable que les entreprises prennent conscience de leur vulnérabilité et participent activement à la maturité de leurs collaborateurs sur le sujet.
Vae Solis Communications, en proposant des exercices à la gestion et la communication de crise participe à leurpréparation ; ce n’est qu’en intégrant l’anticipation et l’entraînement dans leur stratégie, que les entreprisespourront faire face à ces attaques.
Investir pour se prémunir du risque cyber
Selon l’étude IFOP menée pour F-Secure (2021), 9 personnes sur 10 pensent qu’investir pour se protéger des cyberattaques constitue un « enjeu majeur pour les entreprises », mais seules 2/3 d’entre elles considèrent que « leur entreprise est suffisamment protégée contre une cyberattaque » … Une perception de l’état de latence dans lequel se situent encore trop d’entreprises. Un paradoxe, quand on sait que le déni et l’attentisme sont autant de points nocifs pour leur pérennité. Les entreprises doivent agir à tous les niveaux de leur organisation car l’anticipation et la gestion du risque cyber ne doit pas être de la seule compétence des équipes IT. La direction générale doit piloter ces problématiques pour ensuite allouer les ressources adaptées afin de doter l’interne d’outils innovants, de former les collaborateurs et de s’entourer d’experts sur le sujet.
S’entraîner pour détecter, neutraliser et réparer la menace
L’objectif est de doter l’interne d’outils et réflexes évitant que l’entreprise ne parte d’une page blanche en cas de crise avérée. La mise en place de fiches réflexes, formations et tests de sensibilisation permet aux collaborateurs de rester en éveil sur le sujet.
Ce n’est que sur la base de ces investissements que les entreprises pourront expérimenter, tester et éprouver, l’efficacité de leurs dispositifs et les réflexes de leurs collaborateurs.
Ces exercices permettent aux entreprises de valider l’adéquation de leurs équipements et d’identifier les potentielles failles dans leur organisation.
Assumer pour préserver son capital réputation
Aucun système n’est infaillible. Malgré la préparation et le respect des bonnes pratiques édictées en interne, lescyberattaques continueront. Mais aussi paradoxal que cela puisse paraître, la généralisation des cyberattaquesconstitue une « chance » pour les entreprises. Pendant longtemps, les cyberattaques étaient rarement rendues publiques, perçues comme une preuve de faiblesse des entreprises qui en étaient victimes et leur divulgation au grand public était souvent subie comme une humiliation. Aujourd’hui la donne a changé ; la culture de la honte et du secret tend à s’effacer au profit d’une communication plus assumée des entreprises. Elles ont l’opportunité de passer d’une communication faite de justifications et d’excuses, à une communication responsable, transparente et humble, davantage susceptible d’attirer l’empathie et ainsi de préserver leur capital réputation.
Et si on pensait collectif
Le risque cyber plane au-dessus de toutes les entreprises, c’est pourquoi elles devraient penser et agir de manière collective, à l’échelle de leurs secteurs. Mettre en place des dispositifs de prévention partagés, comme cela est le cas sur les risques psychosociaux, permettrait à toutes les entreprises de disposer de ressources les rendant moins vulnérables et plus agiles face à des hackers à la détermination inébranlée.
Anaïs Agozo Ndelia, Vaiana Lefebvre, Consultantes et Laurent Porta, Associé