“Tout le monde va être hacké” : préparez votre PME

C’est inéluctable, votre entreprise sera victime d’une cyberattaque. Autant faire en sorte que cette tentative d’intrusion reste vaine. Dans ce nouvel épisode, Business Intelligence présente presque la cybersécurité comme une forme d’impôt sur les probabilités.

Non, cela ne tombera plus sur quelqu’un d’autre. Les données actuelles montrent une recrudescence inquiétante et une virulence accrue des incidents. Pourtant, « nous rencontrons encore certaines entreprises qui estiment qu’il y aura toujours un problème, alors pourquoi s’épuiser ? Autant laisser tout grand ouvert et gérer les conséquences après, si nécessaire », déplore Jérémy Grandclaudon, expert sénior en cybersécurité à l’Agence du Numérique, la société paragouvernementale en charge du développement numérique de la Wallonie.

Invité dans ce nouvel épisode de notre podcast Business Intelligence, le spécialiste des risques informatiques admet que la situation peut sembler décourageante : un cyberattaquant peut trouver et exploiter la moindre faille que l’entreprise, ses responsables IT et son cadre de gouvernance numérique n’auraient ni prévue ni détectée.

« Encore faut-il disposer de ces responsables et de ce fameux cadre. Ce n’est pas encore le cas partout. Leur mise en place doit être décidée et cela ne se fait pas en un jour. Cela demande aussi un changement de mentalité, de processus, et parfois même de prestataire informatique », explique Jérémy Grandclaudon, reconnaissant les défis que cela représente, surtout pour les PME, qui disposent de moins de marges de manœuvre.

« Ça ne sert à rien de bâtir Fort Knox »
« Garantir la cybersécurité peut sembler complexe, alors que l’attaquant, lui, n’a qu’à trouver une seule vulnérabilité. Le défenseur peut en avoir corrigé quatre-vingt-dix-neuf, c’est la centième qui posera problème », illustre l’expert de l’Agence du Numérique.

Mais c’est une erreur pour un chef d’entreprise de parier sur le fait qu’une autre société, plus grande ou plus sensible, détournera l’attention des cybercriminels, épargnant ainsi sa propre structure. « C’est jouer avec les probabilités, et elles sont contre vous. Pas besoin d’être un expert en mathématiques pour comprendre cela », ironise Jérémy Grandclaudon, rappelant que les cyberattaques peuvent survenir à tout moment, de n’importe où, de manière opportuniste et sans pitié.

La seule certitude est que « tout le monde va être hacké ». L’essentiel est donc de préparer son entreprise à encaisser le choc, avec des impacts potentiels d’ordre technique, économique et réputationnel. À l’image d’une campagne de santé publique prônant une hygiène de vie préventive, il s’agit de construire une résilience cyber.

Inutile d’essayer de bâtir une forteresse parfaite, sachant que de nouveaux moyens pour contourner ces défenses apparaîtront sans cesse. « L’important est déjà de bloquer 99 % des attaques simples, souvent le fait de script kiddies, des amateurs. Et si une attaque plus sophistiquée parvient à franchir les défenses, il faut savoir exactement comment agir, réagir et redémarrer rapidement », tempère-t-il. « Il s’agit donc de bien répartir ses efforts, plutôt que de construire un Fort Knox qu’on serait incapable de rebâtir dans les délais requis après une attaque. En Europe, 50 % des PME victimes d’une cyberattaque ne se relèvent pas après six mois et finissent par déposer le bilan. »