Cyber risques, quels enjeux pour mon entreprise ?

Le système d’information de votre entreprise est atteint ? Vous allez devoir engager des actions sans attendre pour limiter la propagation des dommages et permettre la reprise de l’activité au plus vite. La gestion du sinistre représente donc d’abord un enjeu financier direct puisqu’il va s’agir de sécuriser les données, d’informer les clients, de faire appel à des avocats et à des experts en relation publique… À cela s’ajoute la perte de chiffre d’affaires susceptible d’être enregistrée en attendant le rétablissement complet du système. Un rétablissement dont le délai est estimé en moyenne à 69 jours une fois la violation de données détectée (2018 Cost of a data breach », IBM-Ponemon Institute, juillet 2018).

Au-delà des conséquences immédiates et pour une évaluation juste du coût des risques cyber, il faut aussi prendre en compte les impacts indirects (sur une durée plus ou moins longue selon l’ampleur de la crise), comme la perte de confiance de la part des clients et des partenaires, les sanctions financières appliquées en cas de défaut de sécurité, la divulgation d’informations portant atteinte à votre compétitivité… Au total, en moyenne, les entreprises françaises évaluent leurs pertes à 9,36 % de leur chiffre d’affaires en cas de violation de sécurité. (Rapport Risk:Value 2018 », NTT Security.).

Les consommateurs sont aujourd’hui soucieux de la protection de leurs données. C’est un fait que l’on doit en partie à l’actualité récente, ponctuée d’événements au retentissement mondial : les vagues massives de cyberattaques en 2017 (WannaCry, NotPetya), le scandale Cambridge Analytica (début 2018)… Désormais, 2 citoyens sur 3 dans le monde se disent méfiants envers l’utilisation de leurs données personnelles. Seuls 36 % ont un sentiment de sécurité vis-à-vis du traitement de ces informations par les différents types d’organisations (entreprises, gouvernement…) (Rapport Global Citizens Data Privacy », Ipsos et Forum
économique mondial, janvier 2019). Autrement dit, la confiance de vos clients, lorsqu’elle vous est accordée, constitue un capital précieux mais aussi fragile.

À l’heure des réseaux sociaux, toute violation de votre système d’information peut avoir des retombées dévastatrices sur l’image de marque de votre entreprise. Un cabinet de conseil en a fait l’expérience en 2017, quand des pirates informatiques ont utilisé l’identifiant et le mot de passe d’un compte administrateur pour accéder aux serveurs mails et à certaines informations sensibles. Dans cette opération, plusieurs clients ont vu leurs données compromises. Précisons que cette société était experte… en cybersécurité. Sa crédibilité se trouva mise en doute, en particulier pour la faiblesse des mécanismes de protection qui avait permis cette intrusion.

Le 25 mai 2018 est entré en vigueur le RGPD (Règlement Général sur la Protection des Données). Il concerne toutes les entreprises dès lors qu’elles manipulent des données personnelles, c’est-à-dire relatives aux personnes physiques identifiées ou identifiables, directement (par leur nom…) ou indirectement (par un numéro de téléphone, un numéro client…).

Ce règlement vise à renforcer les droits des utilisateurs (droits d’accès aux données, d’opposition, d’effacement,
de portabilité…). Il entend, par ailleurs, responsabiliser les acteurs impliqués dans le traitement des données personnelles. À cette fin, il oblige les entreprises mais aussi leurs sous-traitants à prouver leur « accountability », c’est-à-dire à mettre en place des procédures internes destinées à démontrer le respect des règles.

Le RGPD prévoit aussi la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) si leur traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées.

Enfin, autre point notable : si vous constatez une violation de sécurité, vous devez en informer la CNIL et selon les cas, les usagers touchés. L’absence de conformité au RGPD vous expose à des sanctions pouvant atteindre 20 millions d’euros ou 4 % de votre chiffre d’affaires annuel mondial.