Sommaire

    IA by Axialys - outil intelligence artificielle

    Assurer sa cybersécurité, c’est assurer sa pérennité

    Temps de lecture : 4 minutes

    Octobre est le mois européen de la cybersécurité ! L’occasion d’avoir les clés de lecture pour comprendre les enjeux de la sécurité numérique et ainsi instaurer les mesures d’hygiène numérique et de précaution générales, puisqu’en cybersécurité, le risque zéro n’existe pas.

    Les chiffres-clés :

    • 56% des sites analysés et accessibles à tous depuis Internet contiennent des failles graves pouvant mener à la fuite d’informations, à l’accès au contenu et à différentes données du site, ou à la prise de contrôle des serveurs.
    • 42% des sites sont touchés par des failles importantes qui permettent d’accéder aux informations d’autres utilisateurs mais en nombre limité ou de manière complexe (vol de session, faiblesse dans le chiffrement, réalisation d’action à l’insu de l’utilisateur…) versus 39% en 2016.
    • En 2016 et 2017, 50% des sites étaient touchés par des failles graves. Cette proportion s’est élevée à 52% en 2018.
    (Selon une étude menée par le cabinet Wavestone,139 tests d’intrusion sur des sites web ont été réalisés entre Juin 2017 et Juin 2018 auprès de 75 organisations appartenant au Top 200 des entreprises françaises)
    • Les failles marquantes :

    Les plus récentes cyberattaques (ciblant British Airways, Facebook, Google…) ont démontré que la sécurité des sites et applications mobiles représente un enjeu crucial pour les entreprises, tant leurs impacts peuvent être colossaux. Le remarquable piratage dont British Airways a été victime en est bien témoin. La compagnie a vu des pirates voler les noms, numéros de cartes bancaires et adresses ayant servi aux réservations de 380.000 clients sur une période de 15 jours entre le 21 août et le 5 septembre dernier. La compagnie avait en conséquence perdu 1,4 point à la fermeture de la bourse.

    De son côté, Facebook admettait le 28 septembre dernier avoir été victime d’une attaque sans précédent dans son histoire et s’est vu contraint d’expliquer comment des hackers avaient exploité une faille de sécurité compromettant potentiellement près de 50 millions de comptes d’utilisateurs du réseau social. Ce qui a poussé les internautes à douter de la sécurité de leurs données sur Facebook.

    Google a également été victime d’une faille informatique de grande ampleur. Le géant du Web a reconnu que 500.000 comptes de son réseau social Google+ avaient été touchés. Plus grave encore, plusieurs d’entre eux ne savaient même pas qu’ils avaient un compte Google+. Décision prise : Google a annoncé qu’il donnait encore 10 mois à vivre à son réseau social, le temps que les dernières communautés actives se désistent.

    • Le coût de la violation des données

    Une étude menée par le Ponemon Institute et sponsorisée par IBM Security, a estimé le coût moyen d’une violation de données à 3,86 millions de dollars, soit plus de 6,4% par rapport à 2017.  L’étude s’est basée sur des entretiens avec près de 500 entreprises afin de décortiquer plusieurs facteurs de coûts liés à une violation, à des investigations techniques et à la récupération, aux notifications, aux activités légales et réglementaires et au coût lié à la perte de chiffre d’affaire et de réputation. Cette année, pour la première fois, l’étude a également calculé les coûts associés aux “méga violations” et il s’est avéré que celles-ci peuvent coûter aux entreprises jusqu’à 350 millions de dollars.

    • Le Règlement Général sur la Protection des données (RGPD)

    Entré en vigueur le 25 mai 2018, le RGPD vient appuyer l’importance de la cybersécurité. TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, sont concernés par le RGPD dès lors que les données d’un citoyen européen sont collectées et que des traitements de données à caractère personnel sont réalisés. Les entreprises et organismes doivent notamment garantir la sécurité maximale des données personnelles, nommer un délégué à la protection des données et tenir un registre des traitements de données.  

    A défaut de respecter ces mesures, les entreprises sont susceptibles d’engager leur responsabilité civile et pénale. Le règlement a instauré des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel généré par l’entreprise l’exercice précédent.

    • Le mobile est aussi concerné !

    Les cyberattaques sont redoutées sur les ordinateurs, toutefois moins sur les mobiles, malgré que ces derniers soient très vulnérables si l’on en croit les experts réunis lors de la 18ème édition des Assises de la Sécurité qui s’est tenue à Monaco du 10 au 13 octobre dernier.

    Bernard Ourghanlian, directeur technique et sécurité de Microsoft France, s’est exprimé : “Dans une entreprise, le système informatique ne pourra plus faire confiance à rien et devra tout vérifier : la qualité de l’utilisateur, le contexte dans lequel les informations sont demandées, l’outil qu’il utilise… Si je suis connecté via un PC de l’entreprise, via le réseau de l’entreprise, j’aurai accès à des informations qui me seront peut-être refusées si j’essaie de me connecter avec mon téléphone”. Mikko Hypponen, CRO de F-secure, s’est également prononcé sur le sujet : “Il faut connaître son entreprise, ses enjeux pour comprendre les menaces potentielles. Il y a un nombre grandissant de malwares qui ne ciblent que les objets connectés, comme le botnet mirai. Dès qu’un objet est décrit comme smart, il faut comprendre qu’il est vulnérable”.

    La cybersécurité est certainement la plus grande préoccupation actuelle des responsables informatiques. Nous assistons à une réelle délinquance cyberorganisée qui touche de plein fouet le business des entreprises. Ceci rappelle combien l’entreprise doit instaurer une bonne gestion de sa sécurité informatique pour préserver son capital marque et maintenir la confiance de ses clients. La prévention et la dissuasion ne suffisent pas. Les entreprises doivent savoir réagir et répondre aux incidents liés à leur sécurité informatique, assurer la reprise de leurs activités et faire preuve de résilience