Cyber-risque : une affaire de business, pas de technologie
Un chiffre parmi d’autres, à l’échelle globale : plus de 400 000 machines, dans 100 000 entreprises, dans plus de 150 pays, ont été affectées par le virus Wannacry en 2017, pour un coût de 4 milliards de dollars.
À l’échelle hexagonale, près de 80 % des entreprises ont subi au moins une cyberattaque en 2017, indique le rapport « État de la menace liée au numérique en 2018 » du ministère de l’Intérieur. Les rançongiciels s’arrogent la première place (73 % des attaques), les attaques virales et les vols de données la seconde ex aequo (30 %).
Le sujet est sérieux, et de très sérieuses organisations s’en sont emparées. Rapports, études, formations, entreprises spécialisées, dernières innovations de l’IA… La cybersécurité est un territoire bien couvert.
De la conscience à l’efficience
Problème : ce sont ceux qui en parlent le moins qui sont susceptibles d’en pâtir le plus. Car la parole, en matière de cybersécurité, est le plus souvent portée par des spécialistes. C’est une parole experte, aux concepts en évolution rapide, aux approches parfois obscures.
Il faut dire que le vocabulaire de la cybersécurité s’étoffe sans cesse : DDoS, Troyen, APT, RAT, botnet, malware, ransomware, wiper, defacing, phishing, spoofing…
Le sabir cyber n’est pas à la portée de tous – et c’est regrettable.
Cela contribue à laisser se creuser des écarts de maturité importants entre les secteurs les plus en pointe, parce que soumis aux pressions réglementaires (banques, assurances, télécoms), et les secteurs les moins numérisés (industries de l’extraction, de la construction), entre les grands groupes et les PME. Alors même qu’une montée en compétences de tous est, de l’aveu des experts, un gage de meilleure résilience profitant à tous.
Et même dans les organisations les plus avancées, il y a parfois loin de la conscience à la connaissance, loin de la connaissance à l’efficience. Comme nous le rappelle un spécialiste du secteur, Guillaume Rablat, dont les équipes d’experts accompagnent ETI et grands groupes sur le sujet, « les entreprises qui n’ont pas eu de problèmes ont une confiance parfois aveugle, trompeuse, dans les dispositifs qu’elles ont mis en place. Le temps passe, sans attaque, on croit avoir mis en place les bonnes mesures… Alors qu’on peut être attaqué sans être une cible. La question n’est pas de savoir si on va être attaqué, mais quand, et si l’on est bien préparé pour cela ».