Les entreprises doivent renforcer leurs connaissances en matière de cybersécurité à tous les niveaux, soulignent les experts d'EY. C’est pourquoi, à leurs yeux, l’équipe de direction devrait intégrer un Chief Information Security Officer.
“La cybercriminalité est un secteur très rentable, un big business”, affirment Koen Machilsen et Edwin Haedens chez EY. “Ajoutez à ce constat les évolutions géopolitiques – la Russie, par exemple, multiplie les cyberattaques ces jours-ci –, et vous comprenez à quel point les entreprises qui ont massivement numérisé leurs processus de base sont vulnérables.”
Les conséquences d’une cybersécurité défaillante peuvent être graves. Pensez au ransomware, un logiciel malveillant qui crypte les fichiers d'un ordinateur et demande une rançon en échange de leur déblocage. Ou encore à la fraude par deepfake, comme dans cette société d'ingénierie britannique où un employé a récemment transféré 23 millions d'euros grâce à de fausses images du directeur financier, créées à l'aide de l'intelligence artificielle.
“Il suffit d'une photo et de quelques secondes de voix pour créer un deepfake”, confirme Koen Machilsen, Partner chez EY.
Les criminels utilisent l'IA de diverses façons. “Dans le passé, ils envoyaient des courriels d'hameçonnage mal rédigés en anglais afin d’accéder à des systèmes informatiques. Aujourd'hui, ils peuvent envoyer de manière quasi automatique des courriels très ciblés et bien rédigés, grâce à des données – de profil, notamment – qui peuvent être trouvées en ligne.”
Législation européenne
Plus que jamais, les entreprises doivent donc s’atteler à leur cybersécurité. Dans la pratique, cependant, leurs systèmes de protection laissent souvent à désirer. Les entreprises doivent donc impérativement redresser la barre. “Les conseils d'administration doivent eux aussi rattraper leur retard en termes de connaissances cybernétiques et technologiques”, note Koen Machilsen.
Les individus constituent la première ligne de défense. Si vous travaillez dans le département financier et que vous recevez une demande étrange de transfert d'argent de la part du directeur financier, décrochez votre téléphone pour obtenir confirmation.
À compter du 18 octobre 2024, en effet, la législation NIS2 rendra les conseils d'administration et les directions responsables de la cybersécurité, prévient Edwin Haedens, Senior Manager Cybersecurity chez EY. En cas de non-conformité, les amendes pourront atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
EY aide les entreprises à identifier les cyberrisques, à fixer des priorités, à amorcer un processus d'amélioration à long terme et à contrôler les progrès accomplis. La première recommandation des experts est évidente: il faut disposer de suffisamment de connaissances en matière de cybersécurité en interne, et pas seulement au sein du conseil d’administration.
“L'équipe de direction doit intégrer un responsable de la sécurité de l'information – un CISO, ou Chief Information Security Officer”, estime Koen Machilsen. “Le conseil d’administration doit donner au CISO le mandat de déployer une cyberpolitique dans l'ensemble de l'organisation.”
Protéger les données précieuses
Une cyberpolitique efficiente s'intègre non seulement à toutes les initiatives stratégiques de l'entreprise et à la gestion des crises, mais elle renforce également la chaîne d’approvisionnement, pointe Koen Machilsen. “Dans quelle mesure l'écosystème de l'entreprise est-il vulnérable? Quelles seraient les conséquences d’une cyberattaque d’un fournisseur? Et quelles seraient les retombées pour vos clients d'une cyberattaque de votre entreprise?”
Le conseil d’administration doit fournir des ressources en suffisance pour protéger ses processus commerciaux critiques et ses précieuses données d'une cyberattaque percutante. L'entreprise a-t-elle déployé les mesures adéquates pour ce faire? Existe-t-il un système de surveillance qui lance l’alerte rapidement en cas de suspicion de cyberattaque? L'entreprise dispose-t-elle des capacités et des connaissances idoines pour réagir?
Décrocher le téléphone
Les entreprises dont la politique de cybersécurité n’est pas assez développée ne peuvent plus être assurées.
La culture et la sensibilisation de l'entreprise sont cruciales et nécessitent une attention constante. Selon Edwin Haedens, le conseil d'administration doit également en reconnaître l'importance. Chaque cyberattaque implique des individus qui constituent la première ligne de défense.
La sensibilisation et la formation sont essentielles pour prévenir la cyberattaque, y réagir et s'en relever. Par exemple, si vous travaillez dans le département financier et que vous recevez une demande étrange de transfert d'argent de la part du directeur financier, décrochez votre téléphone pour obtenir confirmation.”
Les entreprises peuvent souscrire une cyberassurance pour couvrir les dommages causés par un accès non autorisé aux systèmes informatiques, notamment. “Mais cette assurance est de plus en plus difficile à obtenir”, indique Koen Machilsen. “Voici quelques années, un simple rapport suffisait; désormais, les conditions sont nettement plus strictes”, conclut Edwin Haedens.
“Les entreprises dont la politique de cybersécurité n’est pas assez développée ne peuvent tout simplement plus être assurées. Chez EY, nous pouvons aider nos clients à mettre en place une cyberstratégie complète.”