Rédigé avec la contribution de Akamai
La cybersécurité fait l’objet d’une attention croissante. Et heureusement, car le nombre de cyberattaques est, lui aussi, en croissance. Alors que certains secteurs sont particulièrement menacés, certaines tendances ont aussi un impact. Le cyber-spécialiste Richard Meeus (Akamai) nous livre quelques éclairages importants.
C’est l’un des points clés à l’agenda du Comité de Direction dans la plupart des entreprises… La cybersécurité gagne en importance, de jour en jour. Cet intérêt est, bien sûr, largement lié au nombre croissant de cas de piratage informatique et autres ransomwares, comme tout récemment à la Ville d’Anvers.
Mais le sujet est aussi particulièrement sensible auprès des consommateurs. « Dans l’enquête YouGov, que nous avons commanditée et fait réaliser au Royaume-Uni, 59% des personnes interrogées ont déclaré ne plus acheter de produits ou services à des entreprises victimes de cyberattaques, » commente Richard Meeus. Il est directeur Security Technology & Strategy chez Akamai, société spécialisée qui aide les entreprises à prévenir les cyberattaques ou à limiter les dommages en cas d’attaque.
« Les entreprises subissent une forte pression, tant en amont qu’en aval, pour prendre la cybersécurité au sérieux, » explique R. Meeus. « Mais cela offre aussi des atouts. Les entreprises peuvent y voir une opportunité. Les budgets consacrés à la cybersécurité ne doivent pas être considérés comme une dépense mais plutôt comme un investissement, avec un ROI positif pour l’entreprise. Par exemple, en la positionnant très clairement comme une entreprise sûre et qui inspire la confiance des consommateurs. La cybersécurité devient un facteur de différenciation. »
L’industrie et les services aux entreprises, deux secteurs extra vulnérables
Même les secteurs qui n’avaient que peu d’égards pour la cybersécurité sont en train de changer leur fusil d’épaule. C’est le cas notamment des entreprises du secteur industriel. « Il s’agit du secteur le plus touché par les cyberattaques, » confirme Richard Meeus. « C’est dû au fait que, durant de longues années, ces entreprises n’y ont pas prêté beaucoup d’attention. Elles ne se focalisaient pas tellement sur l’internet et se considéraient donc peu exposées. Mais les ransomwares ont changé la donne. Ainsi, le plus grand gazoduc des États-Unis − le Colonial Pipeline − a été victime d’une cyberattaque début 2022. »
Le secteur des services aux entreprises est également vulnérable, selon Richard Meeus. « Non pas parce que ces entreprises ne sont pas axées sur l’internet, mais parce qu’elles fournissent des informations à de nombreuses sociétés et détiennent beaucoup de données. Lorsqu’elles sont touchées, cela a donc un impact sur des centaines, voire des milliers d’autres entreprises. »
Bien entendu, le fait que ces secteurs se distinguent ne signifie pas que les autres échappent au phénomène. Il reste extrêmement important, pour chaque entreprise, de se préparer, mais… « Au plus haut est le mur que nous construisons, au plus haute est l’échelle des cybercriminels, » ajoute Richard Meeus. Il entend par là qu’il ne s’agit pas seulement s’engager à prévenir une attaque, mais aussi de partir du principe que cette attaque pourrait se produire et réussir. « ‘Assume bridge’, comme nous le disons dans notre jargon, » poursuit R. Meeus. « Lorsqu’une cyberattaque se produit, il est essentiel d’avoir tout mis en place pour qu’elle soit détectée rapidement et que son impact soit le plus faible possible. »
Le cloud est un atout, le mobile un défi
Dans cet environnement de plus en plus dangereux, deux autres tendances impactent la cybersécurité. La première a un impact positif et la seconde, un impact négatif. Il s’agit du ‘cloud’ et de l’internet mobile, deux tendances qui prennent de l’ampleur dans le monde des entreprises.
« Le cloud offre beaucoup d’avantages en termes de cybersécurité, » explique Richard Meeus. « On peut y stocker des données et compter sur la sécurité du cloud. L’avantage est que le partenaire avec lequel on travaille est responsable de la sécurité et s’assure de sa mise à jour permanente. On ne doit pas s’en préoccuper. »
Pour ce qui est de l’internet mobile, le point de vue de Richard Meeus est différent : « Les applications utilisent souvent des interfaces − des API ou Application Programming Interface − pour échanger des données. La sécurité des API est au même niveau que celle des applications web d’il y a dix ans. Mais bien sûr, les cybercriminels n’en tiennent pas compte. Il faut donc être très attentif. »
Le jour où il n’y aura plus de cyberattaque ne semble donc pas pour demain. « Les voitures continuent d’avoir des accidents malgré le fait qu’elles soient devenues beaucoup plus sûres, » compare Richard Meeus. « Il faut donc avoir la même attitude en matière de cybersécurité. Faire tout ce qui est en notre pouvoir pour empêcher une attaque mais une fois qu’elle se produit, disposer aussi d’une deuxième ligne de défense. » Un homme averti…