Evalué à 6 000 milliards de dollars en 2021, le marché du cybercrime devrait atteindre 10 500 milliards de dollars en 2025 compte tenu de son rythme de croissance de près de 15 % par an. Le poids économique qu’il représente fait de lui la troisième économie mondiale derrière les Etats-Unis et la Chine
Si la pandémie de Covid-19, et notamment le télétravail devenu la source de 20 % des incidents cyber, a accéléré et facilité les attaques, le cyberespace et ses dangers se nourrissent et se développent dans une économie qui se digitalise plus rapidement qu’elle ne se protège contre ces nouveaux risques.
Ce phénomène tient notamment à un rapport risque/coût/gain particulièrement favorable à la cybercriminalité. Des délinquants peuvent se procurer aisément sur le darknet des kits aux alentours de 5 $, permettant de commettre des assauts face auxquels nombre de particuliers comme d’entreprises (43 % des cibles sont des PME peu préparées) se trouvent désarmés. Dans 55 % des cas, ces assauts sont initiés par une organisation criminelle structurée, ce qui montre la professionnalisation des attaquants.
La nature même du cyberespace impose de faire coopérer public et privé, aussi le rapport préconise d’étoffer les services de la justice en matière de lutte contre la cybercriminalité, notamment en créant une filière de cybermagistrats, en renforçant les moyens d’enquête et en incitant les entreprises à déposer plainte rapidement à chaque attaque cyber pour permettre la remontée et le démantèlement des filières.
Face au risque d’une cyberpandémie, la réponse pénale s’impose. Le Club des juristes, think tank juridique français, dresse un état des lieux des phénomènes de cybercriminalité et des moyens mis en œuvre pour les affronter. Ce rapport, piloté par Bernard Spitz, président du pôle Europe et international du MEDEF, et Valérie Lafarge-Sarkozy, associée du cabinet Altana, émet dix préconisations pour renforcer la protection des institutions, des entreprises et des citoyens dans un contexte d’augmentation sans précédent des cyberattaques durant la crise sanitaire et qui perdurera à son issue. « Le scénario d’une cybercriminalité coûtant 10 500 milliards de dollars par an à l’horizon 2025 appelle un changement de posture et des investissements d’ampleur », soulignent les auteurs.
Cela relève également de la responsabilité des entreprises, comme le rappelle Guillaume Poupard, directeur général de l’Anssi : « Il faut intégrer le risque numérique dans la gestion globale des risques de chaque entreprise. Les dirigeants doivent utiliser le levier réglementaire et investir 5 à 10 % de leur budget IT dans la cybersécurité pour se doter de solutions efficientes. »
(1) Le droit pénal à l’épreuve des cyberattaques, Le Club des Juristes, avril 2021, 90 pages.
| Quelles règles de cybergouvernance dans l’entreprise ?
I. Instaurer une gouvernance transversale des données et du patrimoine informationnel de l’entreprise : – Identifier les informations, ainsi que les données sensibles et stratégiques à protéger. – Réaliser un audit des vulnérabilités. – Définir une politique de sécurité des systèmes d’information. – Désigner un ou plusieurs référents en charge de ces questions. – Instaurer une procédure de gestion de crise, immédiatement opérationnelle en cas de survenance d’une cyberattaque, comprenant un plan de continuité et de reprise d’activité. – Se mettre en conformité avec le RGPD. – Elaborer une politique de protection des données à caractère personnel, notamment à la lumière de l’invalidation du privacy shield, et avoir les bonnes binding rules. – Mettre en place des procédures pour identifier les incidents de sécurité et les notifications requises (à la CNIL et/ou à l’ANSSI, le cas échéant). – Sécuriser le recours au télétravail et, d’une manière générale, le travail à distance. – Intégrer les règles de cybergouvernance dans le règlement intérieur. – Rédiger une charte informatique. II. Revoir les contrats : – D’externalisation de données et de protection informatique avec les prestataires, afin qu’ils soient conformes aux nouvelles règles de responsabilités entre responsables de traitement et sous-traitants. – D’assurance et plus particulièrement d’assurance cyber. – De travail en les mettant à jour par l’insertion de clauses types de protection des données ou tout autre moyen d’information des salariés et renforcer les clauses de confidentialité y figurant. III. Former les collaborateurs de l’entreprise : – Réaliser un plan de formation et de communication relatif à la sécurité informatique, la valorisation des actifs informationnels et la gestion des données à caractère personnel, impliquant l’ensemble des métiers et les partenaires sociaux. – Réaliser des tests au minimum deux fois par an. IV. Disposer d’un plan de communication et de gestion de crise : – Préparer les éléments de langage pour la communication interne et externe. – Disposer des coordonnées à jour des interlocuteurs potentiels pouvant être joints à tout moment (l’ANSSI, services de police, agences de communication, avocats, huissiers de justice). |