* Les entreprises restent vulnérables aux cyberattaques
* Des dépenses de sécurité qui pèsent sur les budgets
* Les professionnels jugent ces investissements
sous-dimensionnés
par Jean-François Rosnoblet
AIX-EN-PROVENCE, 16 novembre (Reuters) - Le défi de la
protection numérique s'impose aux entreprises françaises,
contraintes de réévaluer leur système de défense face à des
menaces croissantes qui "bouleversent" les modèles économiques,
jugent les professionnels de la cybersécurité.
Réunis à Aix-en-Provence à l'occasion de la 2e édition du
colloque Sécurité économique et compétitivité des entreprises en
Méditerranée (Secem), organisé mercredi, ils ont tenté de tirer
les enseignements des spectaculaires cyberattaques du printemps.
L'approche des enjeux de cybersécurité a changé de dimension
après les attaques perpétrées avec les logiciels malveillants
WannaCry et NoPetya contre les systèmes informatiques du pôle de
santé britannique NHS, des chemins de fer allemands, de
l'opérateur de télécoms espagnol Telefonica TEF.MC ou de
l'entreprise française Saint-Gobain SGOB.PA , pour réclamer le
versement d'une rançon en échange des données dérobées.
"WannaCry, c'est 420.000 victimes dans 174 pays pour un coût
global estimé à plus d'un milliard de dollars pour les
entreprises touchées", a résumé la directrice de Cybercercle,
Bénédicte Pillet.
La vague d'attaques informatiques a perturbé les activités
de dizaines d'entreprises, dont le constructeur automobile
français Renault RENA.PA , contraint de maintenir à l'arrêt
certaines lignes de production à titre préventif.
VULNÉRABILITÉ
"Pour Saint-Gobain, c'est 250 millions d'euros d'impact sur
le chiffre d'affaires", a affirmé le délégué régional de
l'Agence nationale de la sécurité des systèmes d'information
(Anssi), Moïse Moyal.
"On est dans une révolution sociétale et économique autour
de la transformation numérique. C'est devenu un sujet porté à
très haut niveau de la gouvernance des entreprises car cette
transformation augmente la surface d'attaque", ajoute-t-il.
Ces attaques ont mis en lumière la vulnérabilité des
entreprises dans ce domaine.
"En 2025, il y aura 5 milliards d'internautes dans le monde,
donc 5 milliards de victimes potentielles dans un univers
hyperconnecté où la donnée sera tellement sensible que tout le
reste deviendra périphérique", souligne le général Marc
Watin-Auguard, fondateur du Forum international de cybersécurité
(FIC).
"Par rapport à la criminalité du monde réel, on se retrouve
avec des milliers de victimes réparties sur l'ensemble de la
planète. On est dans une cybercriminalité mondiale, qui est la
plaie des entreprises dont certaines sont mortes pour ne pas
avoir su s'adapter et se protéger", dit-il.
La protection numérique des entreprises constitue une
dépense non négligeable qui freine parfois les investissements,
dans un contexte où l'explosion des données induit une
augmentation significative des coûts.
"On ne fait pas de la sécurité pour le plaisir, mais la
transformation numérique bouleverse les modèles économiques et
oblige les entreprises à protéger et à proportionner la sécurité
de leurs données sensibles", affirme le directeur de la
stratégie chez Orange cyberdéfense ORAN.PA .
Le groupe de téléphonie a annoncé au mois d'octobre que ses
activités de cybersécurité représenteraient quelque 350 millions
d'ici 2020 contre 250 millions actuellement.
HAUSSE DES INVESTISSEMENTS DE SÉCURITÉ
Il prévoit de recruter 1.000 salariés supplémentaires dans
cette entité d'ici 2020, une division qui emploie actuellement
1.200 personnes, avec l'ambition de devenir "un leader en
Europe".
Les professionnels jugent pourtant les budgets dans ce
domaine largement sous-dimensionnés par rapport à la menace.
En France, les entreprises ont enregistré au cours des 12
derniers mois une augmentation de 50% des pertes financières
liées aux cyberattaques, des pertes estimées à 2,25 millions
d'euros en moyenne par le cabinet de conseil et d'audit PwC dans
une étude publiée début novembre.
De même source, on précise qu'elles ont investi en moyenne
4,3 millions d'euros dans la sécurité de leurs systèmes
d'information au cours des 12 derniers mois, soit une hausse de
10,2% par rapport à 2016 pour 4.550 incidents recensés en un an.
Dans ce contexte, la législation européenne va se durcir, en
mai 2018, avec l'obligation pour les entreprises et les
administrations de communiquer les violations de la
confidentialité des données personnelles de citoyens européens,
sous peine de sanctions financières importantes.
L'étude PwC note que plus d'une entreprise sur dix dans le
monde (14%) déclarent encore n'avoir engagé aucune démarche de
mise en conformité à ce nouveau règlement. En France, environ 9%
des entreprises n'ont pas encore entrepris de changement.
(Jean-François Rosnoblet, édité par Sophie Louet)