Pour une entreprise, toute défaillance informatique peut entraîner une perte de chiffre d’affaires. Pour Marion Soler et Damien Engrand, respectivement Directrice Générale et RSSI1 de la société Actis, filiale du groupe Telis, la cybersécurité repose avant tout sur de bonnes pratiques.
Selon vous, les entreprises sont-elles davantage conscientes du risque cyber aujourd’hui ? Selon les assureurs, l’explosion des cyberattaques a démontré que le niveau de sécurité informatique moyen des entreprises, et particulièrement des PME, est très faible…
Marion Soler : A Monaco, on peut constater une évolution positive grâce à la sensibilisation du tissu économique opéré par l’AMSN. Après, il est évident que les grands groupes, qui ont des moyens informatiques et humains importants, sont mieux équipés qu’une TPE ou une PME classique. Ce qui n’empêche pas les grandes structures d’être victimes de cyberattaques. (Le hacking du Centre hospitalier Sud Francilien (CHSF), à Corbeil-Essonnes fin août 2022 avait rendu inaccessible tous les logiciels métiers de l’hôpital, les systèmes de stockage (notamment d’imagerie médicale) et le système d’informa-tion ayant trait aux admissions de la patientèle). C’est aujourd’hui un scénario de crise majeur.
Quelles sont les attentes de vos clients en termes de cybersécurité ?
Marion Soler : Elles sont plurielles. Mais il est vrai qu’aujourd’hui, le risque cyber représente 20% des demandes. Nos clients viennent nous voir pour s’assurer qu’en cas de crise, y compris cyber, ils seront en mesure de poursuivre leur activité et ne perdront pas leurs données. Quelle que soit votre activité, elle dépend aujourd’hui en grande partie de votre équipement informatique. Facturation, comptabilité, gestion des stocks, communication, téléphonie, internet… Toute défaillance de ces postes de travail pourrait entraîner une perte de chiffre d’affaires.
Damien Engrand : La cybersécurité est basée sur une bonne hygiène, de bonnes pratiques. On est là pour aider nos clients à les adopter et à anticiper les risques (comme l’arnaque au président ou la fraude aux fournisseurs). La cyber-résilience d’une entreprise est sa capacité à s’adapter et résister aux sinistres tout en maintenant son activité. Elle repose sur 4 piliers : la prévention en construisant un système d’information (S.I.) le plus résistant possible aux cyber-attaques, en formant et sensibilisant les utilisateurs ; la détection et l’analyse au plus tôt des cyber-attaques et des sinistres potentiels ; la construction de dispositifs de réaction immédiate aux attaques et des procédures de secours en cas de sinistre. Enfin, il est essentiel de prévoir des S.I. parallèles et indépendants pour pouvoir continuer son activité métier et maintenir la rentabilité de l’entreprise.
Sur quelles procédures travaillez-vous ?
Damien Engrand : Il faut cartographier le patrimoine immatériel de l’entreprise, identifier les risques comme les personnels essentiels à la continuité de l’activité, créer une cellule de crise, organiser un exercice
de simulation et prévoir un coffre fort numérique etc. L’objectif est que le jour J, lorsqu’une attaque cyber bloquera l’accès aux locaux ou aux données, chacun sache ce qu’il doit faire afi n de réagir au plus vite en cas de crise !
Combien ça coûte ?
Marion Soler : On dépense beaucoup moins d’argent en investissant dans la cybersécurité que pour rattraper les dégâts a posteriori d’une telle crise ! Imaginez les conséquences si un hacker vous pirate des données stratégiques, qu’il s’agisse d’un brevet ou de la liste de vos clients les plus importants… Pour vous donner un exemple, une mission de sensibilisation coûte environ 600 euros HT pour une demi-journée.
Où sauvegarder ses données ?
Marion Soler : Il faut une sauvegarde déconnectée, un site de repli informatique. En fonction du niveau de risque, nous proposons les services de MonacoDatacenter, premier Green Datacenter de la Principauté, notamment grâce à l’utilisation d’une boucle de thalassothermie, mais aussi de Monaco Cloud. Nous avons un coffre-fort numérique hébergé sur la plateforme du cloud souverain. Le coffre-fort numérique permet l’archivage sécurisé de vos documents numériques. Cette solution d’archivage à valeur probante garantit l’intégrité et la sécurité à long terme de l’ensemble des documents sensibles : factures, contrats, bulletins de salaire, brevets, propriété intellectuelle, documents confidentiels…
Faut-il s’inquiéter du piratage des téléphones portables ?
Damien Engrand : Il y a un risque important d’infection par téléchargement d’une application. Tout comme lorsqu’on reçoit un mail de phishing sur son ordinateur portable… Or, l’utilisateur est moins sensibilisé à ce risque de compromission. Il faut adopter les bons réflexes : dissocier le mobile privé du professionnel, utiliser des mots de passe différents, éviter les discussions confidentielles en pleine rue, tout comme l’envoi de données sensibles… On a connu un cadre qui avait laissé sa petite fille utiliser son ordinateur portable professionnel. En installant eMule pour regarder un dessin animé, des documents confidentiels ont été aspirés… Cette personne a été licenciée.
Un conseil pour éviter les arnaques ?
Damien Engrand : La dématérialisation avec signature électronique permet par exemple de réduire le risque de fraude aux fournisseurs.
- Responsable de la Sécurité des Systèmes d’Information
Propos recueillis par Milena Radoman