Andrey Kuzmin - stock.adobe.com
Cyberattaques : la dissimulation reste la norme
Selon un rapport, près de la moitié des organisations ayant subi un incident de cybersécurité ne l’ont pas signalé aux autorités compétentes.
Des organismes tels que l’Information Commissioner’s Office (ICO) et le National Cyber Security Centre (NCSC), outre-Manche, ont largement laissé entendre que l’ouverture et la transparence étaient le meilleur choix à la suite d’une cyberattaque. En France, les entreprises souhaitant faire jouer une assurance cyber ont même désormais l’obligation de porter plainte. Pour autant, les victimes restent largement paralysées par la peur, et notamment pour leur réputation, lorsque vient le moment de se manifester.
Dans son rapport intitulé Incident reporting & disclosure, Keeper Security indique que 48 % des organisations qui subissent des incidents de cybersécurité critiques et des catastrophes telles que des attaques avec ransomware ne les signalent pas aux autorités compétentes, et que 41 % ne divulguent même pas les cyberattaques à leur conseil d’administration – 75 % d’entre elles ont déclaré se sentir coupables d’avoir gardé le silence.
D’une manière générale, les conclusions du rapport mettent en évidence d’importantes lacunes dans la manière dont les organisations réagissent et signalent les attaques et les violations, dont beaucoup semblent en fin de compte pointer vers des problèmes culturels profondément enracinés au sein des entreprises.
Pour Keeper, la peur, l’oubli, l’incompréhension et une mauvaise cyberculture d’entreprise contribuent à ces défaillances. Entre autres, 43 % des professionnels de l’informatique et de la sécurité craignent des répercussions en cas de signalement d’incidents, 36 % estiment que le signalement n’est pas nécessaire et 32 % ont tout simplement… oublié. L’absence de signalement externe est également imputable à la crainte d’une atteinte à court terme à la réputation de l’organisation et à la possibilité de sanctions financières.
« Les chiffres montrent que les organisations doivent procéder à des changements culturels importants en matière de cybersécurité, qui est une responsabilité partagée », estime Darren Guccione, PDG et cofondateur de Keeper Security.
Pour lui, « la responsabilité commence au sommet et les dirigeants doivent créer une culture d’entreprise qui donne la priorité au signalement des incidents de cybersécurité, faute de quoi ils s’exposeront à des responsabilités juridiques et à des sanctions financières coûteuses, et mettront en danger les employés, les clients, les parties prenantes et les partenaires ».
Un appel à l’aide
Les personnes interrogées dans le cadre du rapport de Keeper Security ont également indiqué souhaiter vivement que les dirigeants manifestent davantage d’intérêt pour l’organisation et fournissent les ressources et le soutien nécessaires afin de signaler les attaques et y répondre.
Ainsi, un total de 48 % des personnes interrogées ont déclaré qu’elles ne pensaient pas que les dirigeants se préoccuperaient d’une cyberattaque (25 %), ni qu’ils y répondraient (23 %). Près d’un quart (22 %) ont déclaré que leur organisation n’avait pas de système en place pour signaler une violation à la direction.
Darren Guccione estime, dès lors, que dans l’environnement actuel de sécurité à haut risque, il devient essentiel pour les organisations d’encourager une plus grande transparence et un sens de l’honnêteté lorsqu’il s’agit de signaler des incidents, et d’adopter les meilleures pratiques, politiques et procédures pour se prémunir contre les menaces cyber.
Les mesures préventives sont généralement moins coûteuses à long terme. Ainsi, l’adoption de contrôles de base tels que la mise en œuvre d’une hygiène et d’une gestion appropriées des informations d’identification permettra non seulement d’améliorer l’hygiène cyber, mais aussi de créer une culture de cybersécurité plus saine au sein de l’entreprise.
Un constat comparable en France
En France, le décalage considérable entre le nombre d’incidents rapportés dans la presse, connus de la Justice, et déclarés à Cybermalveillance.gouv.fr conforte les conclusions de l’étude de Keeper Security.
Certains chiffres du Club des experts de la sécurité de l’information et du numérique (Cesin) vont également dans ce sens. Moins d’un cinquième (18 %) des participants (plus de 280) à l’édition 2022 du sondage OpinionWay du Cesin, publiée en janvier 2022, a indiqué avoir été confronté, en 2021, à un chiffrement de données par ransomware.
Mais ils ont été moins que cela (5 % des participants) à avoir été l’objet d’une tentative de double extorsion, à savoir un chiffrement précédé d’un vol de données et une menace de divulgation ou vente de celles-ci. Cela ferait tout de même 14 membres du Cesin concernés. Ces cas-là restent parmi les plus visibles du fait des revendications des cybercriminels.
Sur les plus de 260 victimes françaises de ransomware que nous avons identifiées en 2021, 8 sont membres du Cesin. De quoi suggérer que 6, au moins, ont cédé au chantage, sans que cela soit découvert publiquement. Au moins, parce qu’il ne faut pas exclure que certaines – victimes uniquement de chiffrement de données – l’aient également fait.