Couverture du journal du 03/09/2024 Le nouveau magazine

Cybersécurité : par-delà la technique

La gestion de la cybersécurité ne peut se limiter à la simple mise en place de dispositifs techniques. Elle doit être intégrée de manière stratégique au sein des entreprises. En dépassant la seule approche opérationnelle et en intégrant des principes d'antifragilité, les entreprises peuvent non seulement se protéger efficacement, mais aussi tirer parti des crises pour se renforcer. Décryptage avec Adrien Chenut, directeur Orange Cyberdefense Grand Ouest.

Adrien Chenut, directeur Orange Cyberdefense Grand Ouest

Adrien Chenut, directeur Orange Cyberdefense Grand Ouest ©DR

L’Endpoint Detection and Response (EDR) est un des fondamentaux de la protection cyber. Conçu pour surveiller, détecter et répondre aux activités suspectes sur les terminaux d’une organisation (ordinateurs, portables, téléphonie mobile), l’EDR constitue une première ligne de défense. La mise en place doit être accompagnée d’une réflexion plus globale et stratégique. « Si la sécurité numérique n’est rattachée qu’à la technique, la maîtrise de l’enjeu reste partielle, car cela n’apporte pas de réponse stratégique », commente Adrien Chenut, directeur Orange Cyberdefense pour le Grand Ouest. Et de poursuivre : « La cybersécurité relève de la responsabilité de la direction des risques ou, en l’absence de risk managers, de la direction générale ou encore de la direction financière. »

Se renforcer après une attaque : le principe d’antifragilité

En cas d’attaque, l’antifragilité devient un objectif majeur. Il ne s’agit pas seulement de résister aux crises, mais de s’en servir pour se renforcer. Ce principe implique un apprentissage continu des attaques, la création de systèmes redondants et diversifiés, ainsi qu’une culture de la vertu de l’échec. Chaque attaque doit être analysée pour en tirer des leçons.

3,2 % des entreprises de taille moyenne sont couvertes par une assurance cyber.

Les biais cognitifs et la perception du risque

Une étude d’Orange Cyberdefense et Harris Interactive datant de 2023 révèle que 93 % des dirigeants de PME estiment être bien protégés en matière de cybersécurité, malgré une grande inquiétude (42 %) face aux risques d’une cyberattaque. Cependant, moins de la moitié des entreprises (43 %) considèrent la cybersécurité comme un enjeu prioritaire. Ce décalage s’explique par la perception erronée des risques et la crainte du manque de moyens, de ressources ou de compétences. Les dirigeants citent notamment le manque de compétences (42 %) et l’imprudence des salariés (28 %) comme les principaux freins, suivis du manque de moyens financiers (27 %) et de personnel (19 %).

Réduire sa surface d’exposition et s’assurer

La réduction de la surface d’exposition aux cyber-risques est essentielle. Pour cela, les entreprises doivent non seulement renforcer leurs défenses techniques mais aussi souscrire des polices d’assurance adaptées. Malgré une forte hausse des cyberattaques, seules 3,2 % des entreprises de taille moyenne sont couvertes par une assurance cyber, selon le rapport Lucy 2023 de l’Association des risk managers français (Amrae). Ce chiffre tombe à 0,2 % pour les petites entreprises et microentreprises. Pourtant, l’adoption de nouvelles technologies (Cloud, outils de travail à distance) rend cette protection indispensable. « Réduire sa surface d’exposition permet de négocier avec son assureur et de récupérer sur sa police d’assurance », souligne Adrien Chenut. ​​​​​​

La collaboration avec des experts

Orange, par exemple, propose une équipe dédiée de 45 personnes pour l’audit et le conseil en cybersécurité des entreprises et institutions publiques. Ces experts collaborent étroitement avec la direction générale pour élaborer des réponses adaptées aux attaques numériques ou physiques. La méthode « red team » permet d’identifier les vulnérabilités en simulant des attaques réelles, offrant ainsi une occasion précieuse de renforcer les défenses.

Pour les professions libérales : une gestion simple et régulière

Les professions libérales – médecins, avocats, notaires -, ne doivent pas négliger la cybersécurité. « Une gestion simple et régulière des sauvegardes, hebdomadaire par exemple, couplée à des mesures de sécurité de base, peut significativement réduire les risques », rassure le directeur Orange Cyberdefense Grand Ouest.