McKinsey et Deloitte proposent une série de conseils pour prévenir la montée des cyberattaques dans l’univers entrepreneurial.
Le montant des pertes engendrées par les cyberattaques pourrait grimper jusqu’à 3000 milliards de dollars en 2020, estime McKinsey. Le vol d’informations et le piratage intentionnel constituent les risques technologiques les plus importants auxquels les grandes institutions font face, ajoute le cabinet de conseil américain.
Dans ce contexte, les pouvoirs publics ont un rôle à jouer, tout comme les dirigeants d’entreprises qui doivent en faire une priorité à l’échelle de leur société, et non une simple affaire déléguée à leur direction des services informatiques. « Le progrès vers la cyber-résilience ne pourra être réalisé qu’avec la participation active des hauts dirigeants des institutions publiques et privées », expliquent les analystes David Chinn, James Kaplan, et Allen Weinberg.
« Les modèles actuels pour protéger les institutions des cyberattaques sont de moins en moins efficaces », indiquent-ils. Et pour cause : les mesures classiques de prévention prises apr les entreprises ne s’adaptent pas forcément à l’évolution des risques, et n’intègrent pas assez, d’après ces analystes, les managers des entreprises concernées. Qui aurait pensé, il y a quelques années, que les machines présentes dans les usines puissent devenir la cible de pirates informatiques, avec des conséquences aussi graves – voire plus – que les attaques centrées sur des terminaux classiques ? Les compétences doivent également évoluer pour s’adapter à ces nouvelles menaces, en lien permanent avec les différents fournisseurs.
Des conseils applicables à tous les niveaux de l’entreprise
McKinsey distingue dix pistes d’amélioration dans le cadre de la lutte contre les cyberattaques. Il s’agit en premier lieu de prioriser les informations en fonction des risques de l’entreprise : quels actifs sont essentiels à l’activité de l’entreprise ? Quelles données clefs doivent faire l’objet d’un plan de sauvegarde particulier ? Une hiérarchisation du patrimoine informationnel de l’entreprise s’impose. Une protection différenciée peut donc être envisagée selon le rôle assigné à chaque actif. La protection de l’information doit par ailleurs devenir un réflexe, en étant prise en compte à l’origine des nouveaux projets.
Les systèmes de défense doivent par ailleurs être adaptés en fonction de l’évolution des risques. « De plus en plus, les entreprises devront développer des capacités permettant d’agréger des informations pertinentes et analyser et affiner leurs systèmes de défense en conséquence », indiquent les analystes du cabinet de conseil. Les sources d’information adéquates doivent être identifiées pour pouvoir faire évoluer sa propre cartographie des risques. Enfin, les méthodes de réponse aux incidents doivent faire l’objet d’un processus continu d’amélioration, et les personnels étant en première ligne doivent être sollicités pour leur regard et leur expertise métier.
La réputation des firmes en jeu
Un autre cabinet de conseil, Deloitte, a lui aussi publié une série de recommandations pour faire face aux cyber-menaces. Il s’agit également de se focaliser sur les actifs critiques, de hiérarchiser les risques, de recenser l’intégralité de ses contacts (sous-traitants, clients…), de renforcer ses capacités d’investigation et de renforcer la sensibilisation aux cyberattaques. D’autres recommandations peuvent également être suivies, parmi lesquelles l’organisation de simulations d’attaques informatiques afin d’évaluer les capacités de réaction des équipes et les dégâts potentiels.
Des plans d’urgence – à la manière des plans de continuité d’activité – peuvent aussi être établis. En outre, les risques liés à la réputation de l’entreprise ne doivent pas être ignorés : toute attaque peut entacher l’image des entreprises touchées.