La montée en puissance des cyber-risques : une menace majeure pour les entreprises


Avec le renforcement de la dépendance des entreprises à l’informatique (réseau, web,…), l’émergence de nouveaux moyens de communication (smartphone, réseaux sociaux, …) et le recours de plus en plus fréquent à l’externalisation (cloud computing, data centers, …) on assiste à une montée en puissance des cyber-risques.

Le développement de cyber-attaques extrêmement ciblées met en évidence les limites des mesures de sécurité et constitue une véritable menace pour les entreprises qui vont devoir faire face à l’avenir à des crises majeures.

Les cyber-risques : une menace majeure pour les entreprises

La maîtrise des cyber-risques est devenue un enjeu majeur pour les entreprises dans la mesure où ils touchent aussi bien leur « patrimoine informationnel » que leurs Systèmes d’Information. Les entreprises doivent impérativement se protéger face à 2 types de menaces :

Les menaces liées à la protection des données de l’entreprise

  • L’entreprise doit se protéger contre toute tentative de vol, de perte ou de diffusion de ses informations (financières, techniques, commerciales,…) pouvant entraînées une fuite ou une perte de son patrimoine informationnel.

  • L’entreprise doit également se protéger contre toute tentative de vol, de perte ou de diffusion des données personnelles qu’elle détient (financières, santé,…) pouvant avoir un impact sur sa réputation et pouvant mettre en cause sa responsabilité.

    L’impact d’un vol, d’une perte ou d’une altération des données pour l’entreprise sera d’autant plus important que les données sont considérées comme vitales ou stratégiques et qu’elles ne peuvent être re-fabriquées.

Les menaces liées à la sécurité des systèmes d’information

  • Les risques liés aux systèmes d’information sont considérés comme des risques majeurs pour l’entreprise dans la mesure où ils ont un impact direct sur la pérennité de son activité.

  • L’enjeu réside dans la capacité de l’entreprise à se remettre rapidement d’une attaque réussie tout en fonctionnant en mode dégradé. La problématique en termes de sécurité informatique pour l’entreprise est dans sa capacité à prévenir et détecter une cyber-attaque ce qui est impossible compte tenu de l’internationalisation des entreprises, de l’inter-connectivité et de la complexité des Systèmes d’Information.

Les cyber-risques : une exposition toujours plus grande des entreprises

Le développement des informations et de l’inter-connectivité des Systèmes d’Information rendent les entreprises de plus en plus exposées aux cyber-risques :

Une exposition liée aux risques physiques
  • Défaillance matériel
  • Vol (matériel, données,…)
  • Sabotage physique (intrusion interne, intrusion externe,…)
  • Perte de services
  • Evènements naturels
Une exposition liée aux risques humains
  • Erreur humaine (utilisation, conception,…)
  • Malveillance (chantage, extorsion, divulgation, fraude, actes de dénigrement …)
Une exposition liée aux risques logiques
  • Attaque logique ciblée
  • Saturation matériels
  • Dysfonctionnements logiciels
  • Dysfonctionnement maintenabilité
  • Compromission des informations et fonctions

Les cyber-risques : une menace souvent sous-évaluée par les entreprises

Cyber-attaques : Quelques chiffres clés

Avec la professionnalisation des cyber-attaques, les cyber-risques représentent une menace majeure pour les entreprises. Toutes les entreprises sans exception peuvent faire l’objet d’une cyber-attaque. Autrement dit, le 100% sécurité informatique n’existe pas !

  • 88% des virus fabriqués par des hackers ne sont pas détectés par les anti-virus (1) TrustWave 2012 (18 pays étudiés dont la France)

  • 43% des violations de données sont des cyber-attaques (2) Symantec Mars 2012 (données françaises)

  • 30% des violations de données sont dues la négligence des employés (vol, pertes d’appareils mobiles, erreur, …)(3) Étude Symantec Mars 2012 (données françaises)

La multiplicité des conséquences d’une cyber-attaque

En cas de cyber-attaque et/ou d’une violation de données, l’entreprise doit faire face à une cyber-crise dont la multiplicité des conséquences (juridique, financière et réputationnelle) peut être irrémédiable :

  • Une crise informatique pouvant remettre en question la continuité et/ou la pérennité même de l’activité de l’entreprise
  • Une crise de communication pouvant porter gravement atteinte à la réputation des dirigeants et/ou à l’image de l’entreprise
  • Une crise financière pouvant grèver durablement la compétitivité et/ou la rentabilité de l’entreprise