Les menaces de cyber-attaques pèsent de plus en plus sur les entreprises européennes. Ces dernières ont encore du mal à en appréhender sérieusement les risques. Un écosystème s’est constitué pour les accompagner.
La directive européenne de protection des données personnelles datait de 1995… Autant dire qu’il était temps de la moderniser. Après trois ans de discussions, les 28 pays membres ont réussi à se mettre d’accord sur le projet de règlement général sur la protection des données (GDPR).
Les entreprises détenant des données à caractère personnel et qui concernent des citoyens de l’Union européenne doivent ainsi informer les autorités de contrôle nationales en cas de violation importante de ces données. Cette procédure doit être effectuée si possible dans les 72 heures après en avoir pris connaissance, sous peine d’amendes de plusieurs millions d’euros. Une exigence qui va forcer ces entreprises à agir avec une plus grande réactivité. Les données devront par ailleurs être protégées par défaut, dès la conception du fichier les regroupant (voir article 19).
Le règlement précise que les sociétés européennes devront également mettre en œuvre de techniques et une organisation capables de garantir une protection adaptée aux risques.
Difficile de s’y retrouver sur un marché très fragmenté
“Ce règlement va bouleverser la gestion des données dans les entreprises en Europe”, estime Laurent Heslault, Directeur des stratégies de cybersécurité de Symantec. Prévu pour entrer en vigueur au printemps 2016, le règlement s’appliquera à compter du printemps 2018. “Le délai de deux ans laissé pour se mettre en conformité est court, au regard des changements nécessaires”, prévient cet ancien de chez IBM.
Pour y travailler dès maintenant, les PME, TPE et ETI peuvent faire appel à une kyrielle d’acteurs spécialisés: sociétés de services, agences Web, cabinets de conseil et d’avocats, fabricants de matériel et éditeurs de logiciels… Autant dire que face à un marché aussi fragmenté, le choix sera compliqué.
Tout dépend en fait des besoins. Pour une première approche, il conviendra de dresser un diagnostic des données sensibles hébergées et manipulées dans l’entreprise, puis de recourir au prestataire et à la solution appropriée. En fonction des besoins, “les entreprises peuvent ainsi acheter des solutions de cryptage, des anti-virus, une solution cloud sécurisée premium, des mécanismes d’authentification des utilisateurs grâce à leurs téléphones portables… “, énumère Philippe Trouchaud, associé au sein du cabinet PwC et responsable du développement des activités de cybersécurité pour l’Europe, le Moyen-Orient et l’Afrique.
“Il n’existe pas de modèle standard qui serait applicable à tous pour une cybersécurité efficace. Il s’agit d’un processus d’amélioration continue qui comprend un bon mix de technologies, de processus et de compétences”, prévient Philippe Trouchaud, auteur de l’ouvrage “La Cybersécurité, au-delà de la technologie”.
Se préparer à investir 5 à 8% du budget informatique total
Quant au budget à prévoir, “pour avoir un niveau de sécurité convenable il faut compter de 5 à 8% de sa dépense informatique. Il faudra monter jusqu’à 15% de celle-ci pour devenir une entreprise ultra-protégée”, précise Philippe Trouchaud. A noter que les prestataires privés ne sont pas les seuls susceptibles d’accompagner les entreprises françaises dans cette transition. L’Etat propose en effet des formations à la cybersécurité à destination des TPE-PME, dans le cadre de sa politique d’Intelligence économique. L’important reste de quantifier précisément les besoins.
D’ailleurs, le président de la CGPME, François Asselin, a récemment mis en garde ses adhérents: “Faire appel à une grande société informatique pour installer des firewalls en cascade, c’est dépenser beaucoup d’argent en n’étant jamais efficace. La meilleure des pratique consiste à réagir avec bon sens. Réviser ses procédures dans l’entreprise est le meilleur moyen pour éviter la fraude au président qui fait des ravages”.
Enfin, pour une première sensibilisation, les entrepreneurs peuvent se référer au guide gratuit publié conjointement en juin 2015 par la CGPME et l’Agence nationale de la sécurité des systèmes informatiques (Anssi) qui présente une douzaine de règles simples et de bon sens permettant aux petites structures d’anticiper et de limiter, à peu de frais, les conséquences d’une cyber-attaque.