Les derniers faits et chiffres concernant la cybersécurité sont alarmants. Qu’il s’agisse d’une grande entreprise ou d’une PME, peu importe, car les attaques sont aveugles et en augmentation. L’année dernière, le cabinet de conseil PwC a déclaré que la cybercriminalité était le domaine de la fraude qui connaissait la croissance la plus rapide. En 2014, elle ne représentait que 20 % de la criminalité économique en Grande-Bretagne, mais en 2016, elle est passée à 44 %. Par conséquent, toute entreprise qui considère qu’il s’agit de la « responsabilité du gestionnaire de risques » ou d’un « simple problème informatique » se fourre le doigt dans l’œil. Stimuler la résilience en faisant de la cybersécurité une question de conseil d’administration, voire d’entreprise, devrait être une priorité.
Il est heureux que le gouvernement prenne conscience de la gravité des risques auxquels le Royaume-Uni est confronté. En novembre dernier, le chancelier Philip Hammond a annoncé une enveloppe de 1,9 milliard de livres sterling destinée à renforcer les défenses nationales du Royaume-Uni contre la cyberfraude. Ce montant représente pratiquement le double de ce qui avait été dépensé en 2011 dans le cadre d’une stratégie similaire. Ce dernier investissement se concentrera sur la fermeture des faux sites web gouvernementaux, l’amélioration de l’expertise en matière de cybersécurité et le renforcement de la sécurité des smartphones, des tablettes et des ordinateurs portables. Mais la cybercriminalité se présente sous de multiples formes et tailles, et aucune entreprise ne peut compter sur le gouvernement pour assurer une protection suffisante : nous devons tous jouer un rôle dans la lutte contre les risques. Les entreprises de services financiers sont des cibles particulièrement attrayantes pour les cybercriminels. Les clients veulent utiliser des services numériques, mais la confiance est également primordiale. Une atteinte à la confiance entraîne des dommages considérables pour la réputation et des pertes financières. En janvier dernier, le Lloyds Banking Group s’est retrouvé dans la ligne de mire lorsqu’il a été frappé par une attaque de 48 heures, après que des cybercriminels ont tenté de bloquer l’accès à 20 millions de comptes britanniques. La banque a été bombardée de millions de fausses requêtes dans le but de paralyser les systèmes du groupe. Heureusement, il semble que l’attaque par déni de service ait été déjouée grâce aux efforts des experts internes en sécurité et qu’aucun compte n’ait été compromis. Cependant, certains clients ont signalé des problèmes de connexion et la Lloyds a été contrainte d’admettre qu’elle avait connu des « problèmes de service intermittents », même si elle a refusé de fournir plus de détails. En novembre dernier, la Tesco Bank a déclaré que 2,5 millions de livres sterling avaient été dérobés sur quelque 9 000 comptes. Les petites entreprises sont tout aussi vulnérables et n’ont pas accès aux mêmes ressources internes. En cas d’attaque par ransomware, par exemple, beaucoup ne sauront pas comment réagir ou vers qui se tourner. Dans le cas d’une petite entreprise de services financiers, par exemple un courtier en hypothèques ou en assurances, les effets du verrouillage des fichiers et de la saisie des données des clients pourraient être dévastateurs. Il est donc temps de placer la cybersécurité en tête des priorités. Il n’existe pas de stratégie unique pour arrêter les cybercriminels et ils ne rentrent certainement pas dans un moule unique, puisqu’ils vont des grands réseaux aux loups solitaires. La meilleure solution pour toutes les entreprises est d’être proactif, ce qui signifie impliquer tout le personnel et s’assurer qu’il est informé des risques et que vous avez mis en place des protocoles solides. Les principales questions à se poser sont les suivantes : quel est le niveau de sécurité de vos données ? Disposez-vous d’une assurance responsabilité civile cybernétique adéquate – ou devez-vous en souscrire une ? Disposez-vous d’un plan clair et éprouvé en cas de violation ? Est-il temps de procéder à une mise à niveau ou d’adopter une nouvelle technologie ? Rester informé et agir est la meilleure défense – il s’agit d’aller au-delà de la conformité. Nous devons tous prendre nos responsabilités.
