Les entreprises françaises ne semblent pas encore prendre toute la mesure de la menace cyber : cybersécurité minimale, conviction de ne pas être une cible, manque de moyens humains… Comment expliquer cette persévérance dans le déni du risque ?

Silhouette en ombre chinoise derrière un rideau de codes informatiques ; main noire menaçante sortant de l’écran ; sabres de pirate et tête de mort dessinés sur un clavier… Pour illustrer la menace cyber, médias et réseaux sociaux font preuve de beaucoup d’imagination. Et pour cause : il faut donner corps à l’invisible.

[traitement;requete;objet=article#ID=1419#TITLE=La menace en chiffres]

Car, d’un côté, les coupables sont inconnus ; de l’autre, les victimes se taisent pour protéger leur notoriété. Résultat : malgré l’explosion des attaques, peu de cas de victimes directes sont révélés (à l’exception notable de TV5 Monde en 2015, qui dut arrêter d’émettre durant 24 heures et dont l’attaque ne fut complètement résolue qu’après plus d’un mois d’intervention), pas ou peu d’images, rien de vraiment concret pour marquer les esprits. « On navigue dans un univers flou, désincarné et sans limite géographique étant donné l’interconnexion mondiale des systèmes informatiques, constate Daniel Ventre, chercheur au Centre de recherches sociologiques sur le droit et les institutions pénales (Cesdip – CNRS/UVSQ/ministère de la Justice). On a beau utiliser des mots qui marquent les esprits, comme pirates, dark web, cyberterrorisme, voire cyberguerre, la réalité demeure difficilement appréhendable et, au final, ce qui reste, ce sont des chiffres sur la progression des attaques, rien que des chiffres. » Autre facteur ajoutant à la confusion : « L’évolution permanente de la menace, si bien qu’on ne sait jamais à quoi s’attendre. »

Comble de l’irréalité : le mal peut parfois passer inaperçu (ce serait le cas d’un tiers des piratages) ou n’être détecté que plusieurs mois après. Sans frontières, sans visage, sans mode opératoire fixe et parfois sans conséquences immédiates… Y aurait-il une particularité du cyberrisque, qui empêcherait les entreprises d’en prendre conscience ? « Le cyberrisque est à la frontière entre l’univers du risque – savoir ce qui peut arriver mais ne pas être sûr que cela va arriver – et l’univers incertain : ne pas savoir ce qui va arriver, pose Myriam Merad, directrice de recherche au CNRS-INSHS. Pour une entreprise qui n’a pas encore été gravement touchée par un piratage, tout se passe comme s’il s’agissait de science-fiction, d’où vient d’ailleurs le mot cyberespace. » Or, note la chercheuse, « il est difficile de se préparer à un roman de science-fiction ».

[traitement;requete;objet=article#ID=1423#TITLE=interview d'Ali Jaghdam, enseignant chercheur à l’École de management Léonard de Vinci]

Une menace dramatiquement sous-évaluée

De fait, si seules 3 % des entreprises françaises s’estiment très confiantes dans leur capacité à faire face au cyberrisque (et 49 % « assez confiantes »), à peine plus d’un quart ont souscrit une assurance dans ce domaine, selon le dernier baromètre de la cybersécurité des entreprises Opinion Way/Cesin (lire l’interview). « Ces résultats sont préoccupants sachant que 93 % des entreprises interrogées par ce baromètre ont plus de 250 salariés, commente Alain Depiquigny, fondateur du cabinet de courtage Datassurances. Or les grandes entreprises sont censées avoir une longueur d’avance… »

Côté TPE-PME, le constat vire en effet à l’alarmant, ou relève de la schizophrénie : alors qu’elles sont victimes de près de 80 % des agressions, 56 % des PME évaluent leur risque d’être ciblées comme faible ou très faible, d’après l’étude du cabinet d’expertise comptable Denjean réalisée en partenariat avec Gan Assurances. Chez cet assureur, les services dédiés au cyber ont tout de même noté que les clients étaient « plus à l’écoute » depuis les vagues d’attaques du printemps Wanna Cry et Petya. Une écoute qui reste à concrétiser…

« Même alertées, les TPE-PME continuent à penser qu’elles pourront s’en sortir sans trop de dégâts simplement grâce à leur prestataire informatique, souligne Alain Depiquigny. Elles sont concentrées sur leur croissance et n’ont qu’une certaine quantité d’énergie et de capitaux disponible : s’immerger dans un nouveau domaine de prévention est vécu comme une contrainte trop lourde. » Autre raison tout aussi fondamentale : prendre des risques est inhérent à l’activité entrepreneuriale. Nouveaux marchés, produits ou procédés… sans un certain déni du risque, il n’y a pas de développement. « C’est tout le paradoxe : pour avancer, il ne faut pas toujours penser au danger ; sinon, on reste sur place, ajoute Myriam Merad. Résultat, le cyberrisque est encore, et à tort, placé dans la catégorie des “risques acceptables”. » Enfin, un biais cognitif bien connu des psychologues pourrait aussi jouer un rôle (lire l’encadré ci-dessous. Une chose est sûre, « jouer sur l’anxiogène, ça ne marche pas », déclare Alain Depiquigny. Pire : cela peut augmenter la tendance au déni. Ce constat unanime rapproche d’ailleurs le comportement face au cyberrisque du comportement face au risque climatique (lire ci-dessous «Les changements climatiques»).

Un risque entre technique et humain

Alors comment sortir de là ? Selon Myriam Merad, « il faut passer de “ comment éviter qu’un risque se matérialise ? ” à “ de toute façon, je vais être attaqué, donc comment faire face et préserver mon capital ? ”. Il s’agit d’abandonner l’idée que l’on peut tout maîtriser pour accepter sa vulnérabilité ». Un basculement de point de vue qui ouvre la porte à la résilience et passe forcément par l’analyse des risques.

Cette étape de l’analyse des risques, la majorité des grandes entreprises l’ont déjà franchie en mettant en place des solutions techniques. Est-ce pour autant suffisant ? La réponse ne surprendra personne étant donné l’actualité : loin de là ! « Le problème a été mal posé dès le départ. La prise de conscience du cyberrisque est apparue bien après la conception des systèmes informatiques et, aujourd’hui, on superpose des couches de protection sans s’interroger sur l’humain », estime Jean Caire, chargé d’expertise au contrôle général de sécurité à la RATP.

[traitement;requete;objet=article#ID=1421#TITLE=Les bons… et les mauvais côtés de l’optimisme]

Refuser d’envisager le malheur

Pour Claude Hansen, experte à l’Institut pour la maîtrise des risques, il y a une vraie résistance à se préparer au malheur et les grandes entreprises ont tendance à la contourner en misant tout sur la technique : « Certes, il y a des plans de formation des salariés, mais, une fois la formation terminée, il ne se passe plus rien. » 

À l’Agence nationale de la sécurité des systèmes d’information, qui a notamment la responsabilité de la centaine d’opérateurs d’importance vitale (OIV), l’accent est bien mis sur l’adhésion de l’humain : « Pour cela, il faut un vrai système de management du risque : de la formation avec des serious games, suivie de son corollaire indispensable, un entraînement régulier avec des menaces à blanc pour tester les acquis », explique le commandant Fabien Caparros, consultant cyberrisque à l’agence. Le but est de faire passer le salarié de la posture d’utilisateur passif à celle de défenseur actif, c’est-à-dire en alerte sur la détection des signaux faibles de piratage. Dans une société de l’urgence, l’utilisateur passif a en effet tendance à contourner les règles. « Le défi, c’est de trouver le compromis entre la contrainte de sécurité et le besoin opérationnel. La solution passe par un dialogue permanent – ce qui prend du temps – entre la sécurité des systèmes d’information et les utilisateurs, et beaucoup d’agilité ensuite pour ajuster les règlements. »
Le dernier rapport publié par SANS Security Awareness (SANS Institute) rejoint ce diagnostic. Son titre : It’s Time to Communicate. Pour la première fois cette année, pointe le rapport, ce n’est pas le budget qui est cité comme principal obstacle mais le manque de temps et de compétence en communication de ceux qui doivent sensibiliser les salariés.

Les lois aideront-elles à déclencher ou à accélérer la prise de conscience ? Tous les décrets d’application de la loi de programmation militaire imposant aux OIV de nouvelles règles de sécurité sont désormais parus ; au niveau européen, la directive Network and Information Security (NIS) ainsi que le General Data Protection Regulation (GDPR) doivent être appliqués au plus tard en mai 2018… [traitement;requete;objet=article#ID=1425#TITLE=Changement climatique : une autre forme de déni ?]