Les cyberattaques, un risque systémique pour le tissu français d'entreprises

La gestion du risque cyber lié aux fournisseurs va brutalement changer d'échelle. Créer un écosystème de confiance autour des organisations est un enjeu plus que jamais collectif.

Le nombre annuel de cyberattaques dirigées contre les entreprises françaises frôle aujourd’hui les 400 000, dont plus de 330 000 frappent des PME, selon une étude du cabinet Asterès publiée en 2023. L’ampleur de ce chiffre fait froid dans le dos, d’autant que la situation n’est pas près de s’améliorer. L’écosystème cybercriminel profite aujourd’hui d’outils et de méthodes diffusés largement pour cibler des secteurs particulièrement vulnérables, avec des dommages graves pour la continuité d’activité et la protection des données à caractère personnel, et des conséquences parfois létales.

En outre, l’évolution du contexte géopolitique ne porte pas à l’optimisme. Aux attaques classiques (phishing, faux virements, dénis de service), s’ajoutent aujourd’hui les tentatives de déstabilisation autour des grands évènements et des actes d’espionnage déployés par des acteurs étatiques et privés pour collecter des informations stratégiques industrielles ou à caractère personnel.

Pour mener ces attaques, les cybercriminels n’hésitent pas à compromettre des intermédiaires en ciblant des sous-traitants, des partenaires ou des entreprises du secteur des télécoms. Selon le baromètre 2023 de la cybersécurité des entreprises publié par le CESIN, près d’une attaque sur quatre est aujourd’hui perpétrée par le biais d’un fournisseur ou d’un partenaire. Nous sommes là au cœur d’une problématique majeure, car ce ne sont pas seulement des entreprises prises en tant qu’entités indépendantes qui sont ciblées mais l’ensemble de leur écosystème et notamment leurs fournisseurs et sous-traitants. Il s’agit donc d’un risque systémique pour le tissu français d’entreprises. 

Un impératif réglementaire de résilience

Pour contrer cette menace, la Commission européenne a créé ou fait évoluer un certain nombre de réglementations. La directive NIS 2 publiée le 27 décembre 2022 et dont la transposition dans le droit national français doit intervenir avant la fin 2024, introduit de nouvelles obligations pour les entreprises en matière de cyber protection, d’audits réguliers et de signalement des incidents. Elle s’applique aux entreprises mais aussi à leurs fournisseurs et concerne plus de 350 000 sociétés opérant dans l’Union Européenne. Le règlement DORA (Digital Operational Resilience Act), qui s’appliquera aux 27 États membres à partir du 17 janvier 2025, vise particulièrement les acteurs de la finance et leur impose de mettre en place des systèmes des systèmes de gestion des risques cyber, de notifier les menaces et les attaques, d’opérer des tests de résilience, de partager les informations et renseignements en matière de cyber vulnérabilités et surtout de garantir la gestion du risque cyber lié aux fournisseurs et prestataires de services de Technologies de l'Information et de la Communication (TIC). 

Ce nouveau cadre réglementaire a une portée considérable. Pour les 22 000 acteurs financiers concernés au sein de l’UE – banques, assureurs, fonds d’investissements, fintechs – mais aussi pour leurs fournisseurs IT qui vont être l’objet de tous les regards. Ces entreprises vont être audités et évalués en continu dans leur maturité cyber pour ne pas être identifiées comme le maillon faible d’une chaîne d’approvisionnement.

De la limitation des pertes à une attitude pro-active

Par la démarche ensuite : il s’agit de faire évoluer une approche centrée sur la prévention des risques et la limitation des pertes vers une attitude pro-active, en partant du principe que des incidents, même les moins probables, vont se produire et qu’il faut être prêt à les traiter, à assurer la continuité des opérations et surtout éviter l’effet domino sur d’autres acteurs. Compte tenu de l’importance du sujet dans les grandes entreprises et des nouvelles contraintes réglementaires, il est probable que cette obligation de vigilance s’impose à tous, sans distinction de taille ou de hiérarchie dans la chaine de valeur des grands groupes. 

Ce changement d’échelle pose le problème des outils nécessaires à mettre en œuvre pour assurer l’évaluation de la performance cyber, le niveau de sécurité et de gouvernance des moyens de cybersécurité par des entreprises qui ne disposent pas de moyens inépuisables ni de compétences technologiques éprouvées. Il est donc indispensable de mettre à leur disposition des outils simples à utiliser, « user friendly », automatisés, qui leur permettent d’évaluer leurs risques sans entrer dans des processus trop complexes, tout en apportant une garantie de fiabilité et de sécurité vis-vis des donneurs d’ordre. Cette démarche est nécessaire pour construire une véritable résilience pour soi-même mais aussi et surtout pour les autres ; c’est un défi majeur à relever collectivement.