AIR FRANCE AA AFKLM Banner GPO Mag 1000x90 20220601

Les risques liés au numérique tendent à se diversifier

Les risques liés au numérique tendent à se diversifier

Évaluer cet élément
(1 Vote)

Depuis l’explosion du digital, et en particulier de l’Internet, les entreprises sont confrontées à de nombreux risques liés au numérique qui ne se limitent pas à la criminalité. Les menaces sont aujourd’hui nombreuses et protéiformes, et les attaques sont menées à des fins économiques et financières, de déstabilisation, d’espionnage ou encore de sabotage.

Ce contexte de risques qui était déjà très important en 2020 et 2021, notamment au regard du développement du télétravail, devrait persister en 2022, voire se renforcer et ce, dans toutes les entreprises quelles que soient leur taille et leur secteur d’activité.

Toutes les entreprises qui utilisent le numérique sont potentiellement exposées à différents risques. La liste de ces risques ne saurait en revanche être exhaustive, tellement il en existe. Certains concernent plus spécifiquement un secteur d’activité.

Par exemple, une entreprise de logistique pourrait avoir une faille dans son système de gestion et prendre un important retard, une société de services pourrait décaler tous ses rendez-vous avec un logiciel de planning piraté, un livreur pourrait mélanger toutes ses adresses avec un logiciel défaillant… Il existe ainsi autant de risques que d’entreprises qui utilisent des logiciels.

Néanmoins, certains d’entre eux concernent toutes les entreprises. C’est notamment le cas des cyber risques dont la dynamique s’est encore renforcée en 2021.

Selon le baromètre 2021 du Cesin (Le club des experts de la sécurité de l'information et du numérique) sur la cybersécurité des entreprises françaises, plus d’une entreprise sur deux (54 %) en France déclare ainsi avoir subi entre une et trois attaques cyber au cours de l’année 2021. Un chiffre qui tient uniquement compte des attaques réussies ayant eu des répercussions flagrantes pour les victimes.

Il convient par ailleurs de souligner que l’ampleur et la virulence des attaques ne cessent d’augmenter. En effet, 6 entreprises sur 10 ont connu des conséquences sur leur business suite à une telle attaque, avec pour principaux impacts une perturbation de la production (21 %) et/ou une compromission d’information (14 %) et/ou une indisponibilité du site Web pendant une période significative.

Le « phishing », principal vecteur de cyberattaque

Le baromètre du Cesin souligne également que le « phishing » (ou hameçonnage) reste, pour 73 % des responsables de la sécurité des systèmes d’information (RSSI) interrogés le principal vecteur pour dérober des identifiants et démarrer une infiltration ou une attaque multi-phases.

« Ce type d’attaque vise à obtenir du destinataire d’un email ou d’un lien d’apparence légitime pour qu’il transmette ses coordonnées bancaires ou ses identifiants de connexion à des services externes afin de dérober de l’argent, des accès d’un plus haut niveau ou des informations sensibles, explique Julien Gonzalès, président de Z-IndexLe Phishing peut également être utilisé dans des attaques plus ciblées pour essayer d’obtenir d’un employé ses identifiants d’accès aux réseaux professionnels auxquels il peut avoir accès. Cette attaque repose généralement sur une usurpation d’identité de l’expéditeur (personne morale ou physique) afin de duper le destinataire qu’il invite à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site Web malveillant ».

Une fois cette première machine contaminée, l’attaquant en prend le contrôle pour manoeuvrer au sein du système d’information de l’organisation constituant la véritable cible. Dès lors que sa première victime est compromise, l’attaquant cherchera à obtenir des droits d’administrateur pour pouvoir rebondir et s’implanter sur les postes de travail et serveurs de l’organisation où sont stockées les informations convoitées.

Easyjet en a ainsi fait les frais en mai 2020 puisque 9 millions de données ont été piratées. Il s’agissait alors principalement de données clients comme des adresses email ou des itinéraires de voyage. Cependant, plus de 2 000 informations bancaires ont été illégalement consultées. Ces faits laissent présager d’un risque important de Phishing, bien que l’entreprise ait rapidement prévenu les clients concernés. La rapidité de prise en charge de cette cyberattaque n’a par ailleurs pas empêché une perte de confiance de millions d’utilisateurs et une plainte collective montée par plus de 10 000 clients, ce qui pourrait coûter plusieurs millions de livres à la compagnie aérienne britannique.

Le « ransomware » fait de plus en plus de victimes

Le « ransomware » (ou rançongiciel) est également une technique courante de la cybercriminalité. Elle consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.

Une attaque dont a, par exemple, été victime Bouygues Construction en 2020. À la suite de l’intrusion d’un Ransomware dans son système d’information bloquant l’accès aux données internes, l’entreprise a vu ses fonctions support paralysées. La réactivité du groupe avec la suspension automatique du système informatique n’aura pas pu éviter la main mise par les pirates sur des données confidentielles. Ces dernières seraient rendues moyennant une rançon de plusieurs millions de dollars… À noter que les activités opérationnelles du groupe n’ont pas été paralysées.

Selon le Cesin, les attaques par Ransomware ont ainsi touché une entreprise sur cinq en 2021. Une tendance qui pourrait progresser en 2022.

C’est tout du moins ce qui ressort du dernier baromètre d’Anozr Way, Start-up spécialisée dans la lutte contre le piratage et l’analyse cyber. L’observation des mécanismes à l’oeuvre en 2021 a démontré que les données récupérées lors des attaques sont massivement utilisées par les groupes de « hackers », explique Anozr Way.

Et cela n’augure vraiment rien de bon pour 2022 : pour une seule entreprise attaquée en France, ce sont en moyenne 150 autres qui sont en danger. La Startup estime par ailleurs que les pertes attribuées à ces cyberattaques correspondent à 2,5 milliards d’euros de chiffre d’affaires cumulé pour les sociétés victimes. Entre les mois de juillet et novembre 2021, Anozr Way évalue ainsi à 200 % la hausse du nombre des organisations ciblées par des rançongiciels au niveau mondial.

Le nombre d’attaques DDoS progressent

Exploitation des vulnérabilités, arnaques au président, tentatives de connexions frauduleuses, acquisitions de noms de domaines illégitimes ou encore les attaques DDoS (déni de Julien Gonzalesservice) sont également des cyberattaques courantes, voire en forte progression pour les attaques DDoS.

Ces dernières ont augmenté de 29 % sur l’année 2021 et de 175 % pour le seul quatrième trimestre (rapport DDoS Attack Trends for Q4 2021).

« Les attaques DDoS visent à rendre un serveur, un service ou une infrastructure indisponibles, précise Julien Gonzalès. Elles peuvent prendre différentes formes : une saturation de la bande passante du serveur pour le rendre injoignable ou un épuisement des ressources système de la machine, l’empêchant ainsi de répondre au trafic légitime ».

Alors en pleine bataille contre la première vague de la Covid-19, l’Assistance Publique-Hôpitaux de Paris a ainsi été la cible d’une telle attaque qui a rendu une partie des serveurs de l’AP-HP inaccessibles, à cause d’une surcharge de requêtes inutiles. Une heure durant, l’AP-HP a dû couper les accès aux outils internes et aux emails pour les salariés alors en télétravail.

Les attaques indirectes par rebond via un prestataire entrent dans le top 10

Les « attaques indirectes par rebond via un prestataire », qui augmentent de 5 % pour atteindre les 21 %, entrent pour leur part dans le Top 10 des cyberattaques ! Une progression qui reflète la réalité d’une année 2021 marquée par les attaques sur la Supply Chain logicielle avec les incidents SolarWinds et Log4J.

Cela fait plusieurs années d’ailleurs que l’Anssi (Agence nationale de la sécurité des systèmes d’Information) s’inquiète des faiblesses de la Supply Chain des grandes entreprises, qui repose souvent sur des TPE et PME moins formées aux défis cyber. Si elles ont souvent cherché à se protéger des faiblesses de leurs prestataires, elles n’ont pas toujours mesuré l’importance des acteurs de leur Supply Chain logicielle.

La perte de données, principal risque lié au numérique

Au-delà de la cybercriminalité, la perte de données représente également pour les entreprises un risque important lié au numérique. Dès lors qu’une entreprise ne sauvegarde pas ses données sur deux sites distants, elle peut se trouver confrontée à des difficultés d’accès à ses données, voire tout perdre du jour au lendemain.

C’est notamment ce qui s’est passé pour un certain nombre de sociétés lors de l’incendie d’un datacenter d’OVHcloud en mars 2021, qui regroupait 14 000 serveurs. Suite à cet incendie, 120 000 services se sont retrouvés partiellement ou totalement à l’arrêt, parmi lesquels le site data.gouv.fr qui est resté inaccessible quelques heures, mais également les sites des démarches simplifiées de l’État, de l’aéroport de Strasbourg, du parti de François Asselineau ou encore du club de rugby de Clermont-Ferrand, etc.

D’autre part, un certain nombre de clients ayant conclu un contrat d’hébergement simple, sans service de sauvegarde associé, ont perdu, temporairement ou définitivement leurs données dans cet incendie. Plusieurs clients d’OVHcloud, qui ont vu leurs données partir en fumée dans l’incendie des datacenters du groupe à Strasbourg le 10 mars dernier, se sont d’ailleurs regroupés pour lancer une action en justice commune impulsée et représentée par le cabinet d’avocats Ziegler & Associés, spécialisé dans ce type de contentieux. Selon le cabinet d’avocats, les préjudices subis par ces entreprises s’échelonnent entre 10 000 euros et 1,9 million d’euros.

La e-réputation peut ternir l’image de l’entreprise

Le numérique peut également exposer l’entreprise à des risques réputationnels. Un risque qui peut toucher tout type d’entreprises, mais aussi des travailleurs indépendants, artisans, commerçants, dès lors qu’ils ont un site en ligne. Si les avis ou retours clients sont mauvais, il sera alors difficile de s’en défaire, et la réputation de l’entreprise en sera ternie. D’où la nécessité de surveiller sa e-réputation.

Manquement au RGPD : attention à la facture !

« Un autre risque lié au numérique concerne la responsabilité et les obligations des entreprises en matière de protection des données clients, explique Richard Lamy, directeur du Programme de confiance de Docaposte.

Richard LamyEt c’est le coeur du métier d’un prestataire de service de confiance. À noter que le manquement au Règlement général sur la protection des données (RGPD) expose en effet l’entreprise à des sanctions, allant du simple rappel à l’ordre à une injonction de se mettre en conformité pouvant être assortie d’une astreinte jusqu’à 100 000 euros par jour de retard, en passant par le retrait d’une certification, ou une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Toutes les entreprises établies sur le territoire de l’Union européenne et qui stockent des données personnelles sont concernées (le stockage de données est une forme de traitement) par la RGPD. Dans le cadre de cette réglementation, le responsable d’un fichier client ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime ; les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier ; il n’est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie.

Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier ; le responsable du fichier doit garantir la sécurité et la confidentialité des informations qu’il détient. Il doit en particulier veiller à ce que seules les personnes autorisées aient accès à ces informations ; enfin, il faut respecter le droit des personnes.

À titre d’exemple, en 2020, l’entreprise H&M a été condamnée à 35 millions d’euros pour surveillance illégale de ses propres employés. H&M avait notamment créé des profils de ses employés qui contenaient des informations médicales (symptômes à chaque absence pour maladie, détails de la maladie en question, détails des diagnostics, etc.), ainsi que des informations relatives aux croyances religieuses, des détails précis relatifs à leur vie privée autant qu’à leurs problèmes personnels.

Or, une telle collecte de données personnelles est interdite par le RGPD, et viole le principe de minimisation1.

Toutes les entreprises sont concernées par les risques liés au numérique

Les risques liés au numérique représentent ainsi une menace omniprésente et « invisible » qui n’épargne ni les particuliers, ni les entreprises ou les organisations. Ainsi, d’après l’ANSSI, 11 % des cyberattaques ont, en 2021, concerné des hôpitaux et 20 % des collectivités territoriales, le reste visant des entreprises.

Les petites et moyennes entreprises s’avèrent être d’ailleurs - sans surprise - des cibles privilégiées, représentant 44 % des organisations touchées par des ransomwares. Plus vulnérables et moins résilientes, ces petites et moyennes entreprises restent encore en 2021 moins bien protégées et moins alertées des répercussions d’une attaque.

En moyenne, une entité perd 27 % de son chiffre d’affaires annuel dans une attaque (Anozr Way). Pour une petite entreprise, cela peut même l’obliger à mettre la clé sous la porte. En termes de secteurs ciblés, les sociétés de la finance et de l’assurance arrivent en tête, suivies de celles opérant dans les services tertiaires, le commerce et l’industrie.

Les Français ont également du souci à se faire concernant la fuite de leurs données personnelles. À partir d’un seul échantillon analysé par Anozr Way, 680 000 français ont été directement concernés en 2021 par l’exposition de leurs données personnelles, du fait des vols de données des entreprises piratées par ransomware.

En effet, chaque entité victime de rançongiciel expose en moyenne 5 500 personnes (collaborateurs, clients, patients). Ces données concernent des documents d’identité (carte d’identité, passeport, numéro de sécurité sociale), mais aussi des informations médicales et des données financières (RIB, prêts). Ainsi, les risques liés au numérique sont vraiment très divers et ne cessent de se développer. Les hackers quels qu’ils soient restent d’ailleurs très inventifs et les attaquent continuent de se diversifier, ce qui complexifie d’autant la tâche des entreprises en termes de protection de leur système d’information et de leurs données.

Sans compter qu’elles doivent aussi veiller à la réglementation en matière de protection des données, et ce dans un environnement de plus en plus digital et où le développement des nouvelles technologies ouvre sans cesse de nouvelle brèches…

1 Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Cybersecurite les chiffresLes chiffres de la cybersécurité

  • Plus d’une entreprise sur deux (54 %) en France déclare avoir subi entre une et trois attaques cyber au cours de l’année 2021 (Baromètre 2021 du Cesin sur la cybersécurité des entreprises françaises).

  • Plus de 80 % des événements de cybersécurité impliquent des attaques de phishing (Threat Report 2020, Teiss) ; Google a découvert plus de 2.1 millions de sites de phishing en janvier 2021.

  • 2 entreprises françaises sur 3 ont subi au moins une tentative de fraude cette année, et 1 entreprise sur 5 a subi plus de 5 attaques. Un cadre qui peut en effet paraître plus propice à la fraude et à la cybercriminalité, surtout dans un contexte qui a poussé les entreprises à une adaptation très rapide et donc potentiellement moins contrôlée (Euler Hermes/DFCG, 2021).
Lu 2591 fois Dernière modification le mardi, 15 mars 2022 11:50
Anne Del Pozo

Elle collabore depuis près de 20 ans à différents magazines en qualité de journaliste.

Elle y traite de sujets articulés essentiellement autour de la finance, des flottes automobiles, du voyage et du tourisme d'affaires ou encore des ressources humaines. Anne del Pozo participe également à la rédaction de nombreux témoignages clients et de newsletters d'entreprise.

Annonces

Pave Abode Creative Cloud

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Vient de paraître GPO Magazine de Juin 2022
EDITION SPÉCIALE FINANCE
Recevoir la
 version PRINT en cliquant ici
Recevoir la version NUMÉRIQUE en cliquant ici

 Capture d’écran 2022-07-01 à 12.43.09.png 

Paru en Avril 2022
GPO MAGAZINE N°109
Recevoir la version PRINT en cliquant ici

EXTRAIT GPO 109.png

Livres Blanc et E-book

Toutes les solutions IT pour pouvoir moderniser ses infrastructures
Pour répondre aux défis de compétitivité, de cybersécurité, de performance opérationnelle et d’urgence climatique, les…
Les clés pour réussir l’intégration de la signature électronique au sein de son organisation !
Au travers de son livre blanc consacré à « La signature électronique et son intégration…
Comment passer à la facture électronique ?
En permettant un traitement automatisé et sécurisé, la facture électronique facilite la comptabilité des factures…
Cinq étapes pour améliorer l'expérience client grâce à l'Intelligence Artificielle
Les centres de contact sont une source importante d'informations sur les clients. Ils peuvent en…
Accélérer la transformation digitale de la comptabilité fournisseurs
Les équipes comptables se doivent d’engager leur transformation digitale pour éliminer les travaux de saisies…
Plus de livres blanc

Webinaires

Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Comment simplifier la réservation hôtelière ?
Et si le voyage d’affaires devenait aussi simple que le voyage loisir ? Pour permettre…
Comment offrir une expérience client digne de Netflix grâce à l’Intelligence artificielle ?
Plus que jamais les entreprises se doivent d’offrir à leurs clients un expérience fluide, remarquable…
Comment renforcer l’agilité de ses applications de gestion avec Oracle Cloud ?
Toute entreprise, quel que soient sa taille, son métier ou ses activités, fait aujourd’hui face…
Comment aborder le télétravail dans les meilleures conditions ?
Les nouveaux défis auxquels nous faisons face amènent les entreprises à recourir de plus en…
Plus de webinaires

Connexion

Devenir membre de GPOMag.fr vous permettra de bénéficier de nombreux avantages réservés uniquement aux membres : Recevoir l'édition digitale mensuelle, Feuilleter les cahiers thématiques et les télécharger gratuitement, Feuilleter gratuitement les derniers numéros de l'année en cours, Télécharger le planning rédactionnel pour connaître les sujets de la Rédaction à venir.

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts