Aujourd’hui, pour gérer efficacement les cyber-risques et renforcer la protection des données, les entreprises sont sous pression. Au-delà des obligations légales en la matière, il en va de leurs responsabilités financières.

Ainsi, face à l’escalade des dangers du numérique, la DORA1 instaure de nouvelles règles de conformité en Europe pour que les entreprises puissent protéger les marchés mondiaux. Si presque toutes les entreprises comprennent la valeur de la cybersécurité, beaucoup la considèrent comme un simple mécanisme de défense active.

Trop d’entre elles ne comprennent pas que la meilleure stratégie est d’assurer la résilience et la continuité des activités. Les cyberattaques sont à nos portes, mais que se passera-t-il ensuite ?

Le cloud : entre responsabilités et malentendu

Quel que soit le risque, une entreprise ne peut pas attendre qu’une catastrophe se produise pour réagir – qu’elle soit d’origine naturelle ou malveillante. Les entreprises qui se contentent d’adopter une approche réactive auront plus de difficultés pour se relever. C’est pourquoi il leur est important de s’interroger sur leurs capacités à reprendre les activités après un incident et d’estimer le temps nécessaire pour se remettre à flot.

Sur le plan de l’investissement, il devient tout à fait intéressant d’entrevoir les enjeux lourds de conséquence se dessiner. Typiquement, lorsque des actionnaires achètent une entreprise au prix qu’ils estiment équitable et misent sur sa future valeur, ceux-ci pourraient très mal réagir si l’entreprise en question manquait de transparence vis-à-vis du degré de protection dont elle dispose.

Et pour cause, lorsqu’un pirate informatique vole les informations, l’entreprise victime pourrait être poursuivie en justice et faire faillite en essayant de rembourser les clients qu’elle prétendait protéger. Cette réaction en cascade aurait pour conséquence une perte de capital pour les actionnaires qui ont investi dans ladite entreprise.

Pour les investisseurs qui placent leurs capitaux dans une entreprise, l’objectif est in fine de maximiser leur profit grâce à l’évaluation du revenu et des coûts d’exploitation, du risque et du capital en fonction de leurs attentes. Ainsi, si le risque est lié à un aspect opérationnel ou réglementaire, il peut également provenir d’autres menaces qui perturbent la stabilité d’une entreprise. En cachant une partie des risques, les dirigeants de l’entreprise déstabilisent l’évaluation, et les investisseurs peuvent alors refuser de participer aux capitaux.

Étant donné que de nombreuses entreprises sont confrontées aux cyberattaques et doivent gérer ces risques, l’AMF admet que les cybermenaces ne sont plus des risques isolés et/ou ponctuels. De ce fait, cette autorité s’interroge sur la nécessité de mettre en place des mesures réglementaires pour atténuer de manière préventive les risques qui menaceraient de déstabiliser le marché et l’économie.

L’objectif de l’AMF est de protéger le marché boursier et l’économie en général. Les violations de données constituent une menace importante pour le maintien de la stabilité économique et pourraient déclencher un ralentissement global si aucune mesure n’est prise. Dans le cas où des actions de plusieurs entreprises s’effondreraient après des violations de sécurité en cascade, le résultat serait désastreux.

Ces dernières années, l’AMF et l’ANSSI travaillent ensemble sur la question de la cybersécurité pour la rendre plus transparente et cohérente – plus particulièrement vis-à-vis des potentielles failles. À l’heure actuelle, il n’existe aucune obligation légale de déclarer une faille de cybersécurité par les entreprises, quelle que soit l’ampleur de celle-ci.

Cependant, les entreprises françaises qui ont été victimes d’une attaque par ransomware et qui espèrent bénéficier de la protection de leur contrat de cyber-assurance doivent déposer plainte dans les 72 heures qui suivent l’attaque – et donc rendre cette information publique.

Par ailleurs, les entreprises doivent rassurer leurs investisseurs en leur apportant les gages d’une réelle gouvernance des données, en mettant en place des protocoles de sécurité réfléchis et en détaillant le rôle du Conseil d’Administration dans la gestion du risque numérique.

Ces investisseurs peuvent également exiger de connaître le niveau de compétence et de qualification des équipes de direction, ainsi que leur niveau d’implication dans les protocoles/politiques de cybersécurité et de récupération des données de l’entreprise.

De manière générale, les entreprises doivent utiliser leurs propres ressources pour identifier, évaluer, atténuer les risques liés à la cybersécurité mais aussi assurer un rapide retour à la normale pour éviter de potentielles pénalités.

Une protection absolue contre les cyberattaques n’existe pas : les entreprises doivent alors être en mesure de rebondir tout en limitant l’impact sur les opérations, les finances et la réputation. Dans le passé, les Conseils d’Administration se sont souvent battus pour que les bénéfices reviennent aux investisseurs, induisant que l’investissement dans la continuité des activités était à reléguer au second plan. Aujourd’hui, de plus en plus de fonds sont utilisés pour renforcer la cyber-résilience, contribuant ainsi à maximiser les bénéfices et à faire monter le cours de l’action.

Cyber-résilience : que doivent faire les entreprises ?

La cyber-résilience, la protection et la récupération des données sont compliquées. La réalité est qu’il n’est pas indispensable de comprendre les détails techniques pour appréhender le risque. Les entreprises engagent généralement des professionnels dédiés à l’IT et à la sécurité du cloud pour comprendre, mettre en œuvre et déployer les bonnes solutions.

Ce que les entreprises devraient reconnaître, c’est qu’un risque plus élevé induit d’allouer davantage de moyens financiers à leurs équipes afin qu’elles puissent mettre en œuvre et exécuter les solutions de protection et de récupération des données nécessaires.

Si l’on devait faire une analogie, lorsqu’on achète un véhicule, on comprend aisément que le coût n’est généralement pas fixe. Il existe certaines exigences et certifications auxquelles les conducteurs ne peuvent se soustraire (contrat d’assurance renouvelé, entretien régulier, etc.).

De plus, du fait de son usure, le véhicule doit faire l’objet de réparations à différentes étapes de son cycle de vie ou être remplacé si les coûts dépassent le prix d’un véhicule neuf. Cette approche s’applique de la même façon à la protection et à la récupération des données.

Être résilient ne consiste pas seulement à mettre en place un dispositif de récupération, mais aussi à se préparer à une menace inconnue et invisible. Une entreprise doit entretenir ses solutions de protection et de récupération des données de la même manière qu’elle le ferait pour un véhicule : formation, entretien, inspections et échanges sur les réparations et les remplacements, tout en sachant que cela fait partie du coût de l’activité.

Les organisations cyber-résilientes doivent également avoir des conversations ouvertes sur la réalité de l’état de leur cybersécurité et de la protection de leurs données. Les membres du Conseil d’Administration et les entreprises doivent faire l’effort de comprendre la situation et les professionnels IT doivent faciliter les relations.

Pour atteindre ces objectifs, les entreprises doivent s’assurer qu’elles ont mis en place des normes de gouvernance et de conformité et se préparer en améliorant la visibilité sur leurs données et leurs actifs. Elles doivent prendre au sérieux les vulnérabilités de l’infrastructure et considérer la protection et la récupération des données comme un changement de mode de gestion, et non comme une option.

Il serait bénéfique pour les entreprises de prendre conscience du coût opérationnel de la cyber-résilience et de le comparer au coût découlant d’une absence de plan de récupération de la protection des données.

[1] Digital Operational Resilience Act