|
Comptabilité Gestion Cybersécurité : analyse et recommandations de l'ANSSI La « Matinale » de la Compagnie régionale des commissaires aux comptes de Paris autour du thème « La cybersécurité et le CAC » a eu lieu le mercredi 14 février dernier. Ses principaux enseignements sont les suivants. Même sans être ciblée, toute entreprise peut être touchée par une cyberattaque – François Charbonnier, chef adjoint de la coordination sectorielle de l’Agence nationale de la sécurité des systèmes d'information (ANSSI), a rappelé que le nombre de cyberattaques ne diminue pas, bien au contraire, il augmente, et que la virulence de ces attaques a tendance à s’accroître. Comme les années précédentes, 2017 a montré que les cyberattaques faisant le plus de victimes commencent souvent par l’intrusion d’un rançongiciel (ransomware), reçu via un simple mail sur lequel les utilisateurs cliquent et contaminent ainsi le système d’information. Cette contamination peut aller jusqu’au réseau de production industrielle, stoppant net la production de l’entreprise, avec les conséquences qu'on imagine. Pour l’anecdote, une des attaques majeures intervenues en 2017 utilisait comme « cheval de Troie » une réponse à un mail de simple proposition de mise à jour du logiciel de comptabilité… La conclusion des différentes cyberattaques recensées reste que, bien souvent, les entreprises victimes n’étaient pas spécifiquement visées par les cybercriminels mais ont été touchées, bien que non ciblées initialement, par contamination entre systèmes d’information et d’exploitation. Or, on sait que le rétablissement post-cyberattaque des processus métiers peut être long et coûteux pour les entreprises qui en sont victimes. Le secteur « finances et services » est particulièrement visé – Le « secteur finances et services » est vaste puisqu’il recouvre aussi bien le secteur bancaire, que celui des assurances et, aussi notamment, celui des professionnels du chiffre. Ces entreprises ont naturellement des spécificités bien différentes mais sont globalement souvent visées par les cyberattaquants. Les banques le sont en raison des flux d’argent qu’elles gèrent, mais les commissaires aux comptes ou les experts-comptables, tout comme les directeurs comptables et financiers, peuvent être ciblés par ces cyberattaquants pour les données confidentielles (comptables, financières mais surtout stratégiques) qu’ils détiennent et qui peuvent valoir de l’or. Le nombre de cyberattaques ciblant ces secteurs augmente d'ailleurs chaque année et, pour ces attaques comme pour celles visant les autres secteurs d’activité (militaire etc.), on observe que les cybercriminels se professionnalisent de plus en plus et font preuve d’une grande inventivité. L’analyse des risques : il faut penser aux scénarii auxquels on ne pense pas – Face à ces menaces, comment limiter les risques au maximum et savoir réagir efficacement en cas d’attaque ? La devise à adopter est la suivante : aucune entreprise n’est à l’abri d’une attaque et pour être mieux protégé il faut finalement penser aux scenarii… auxquels justement on ne pense pas. Par exemple, un certain nombre d’attaques se déroulent « en sourdine » avec une simple modification du RIB de règlement destiné aux clients, qui figure sur le site web de l’entreprise, et qui a été subrepticement remplacé par un autre RIB. En somme, le point d’attaque ou les données convoitées ne sont pas forcément ceux que l’on croit, bien au contraire, les attaques « à l’aveugle » étant légion. En conséquence, il convient de se poser, en particulier, les quelques questions suivantes afin de mettre en place des protections autant efficaces que possible : -en interne, que se passerait-il pour l’entreprise en cas de divulgation des donnes détenues ? -si un sabotage se produit, que faire ? -le plan de continuité d’activité (PCA) ou un site de secours résolvent-ils vraiment la question si des données sont modifiées (et donc sauvegardées, confondues avec les données intègres) ? S’emparer du sujet en amont pour mieux y faire face – Bien souvent, l’ANSSI observe que le sujet fait peur ou est laissé de côté, également par les professionnels du chiffre, parce que la cybersécurité est considérée, à tort, comme un sujet éminemment technique alors qu’il s’agit d’un sujet global, transversal, mais ne demandant pas systématiquement une grande technicité en amont, dans la phase d'analyse des risques et de prise en main stratégique du sujet. Les détails techniques pourront en réalité se régler avec les spécialistes au moment de la mise en œuvre des stratégies de protection. Un autre réflexe à avoir est, en cas de recours à des prestataires extérieurs (cloud, etc.), d’inclure lorsque cela est utile une clause de réactivité dans le contrat. Une clause de réversibilité peut aussi être envisagée pour prévoir la possibilité d’une rupture du contrat en cas de rachat du prestataire par un autre prestataire (dans lequel l’entreprise aurait, par exemple, moins confiance). Une clause d’auditabilité du prestataire peut également constituer un bon moyen de prévention afin de s'assurer que les prestataires sont en conformité avec les bonnes pratiques de cybersécurité. En outre, en cas d'acquisition d'une entreprise, pour l'acquéreur et ses partenaires, dont notamment le commissaire aux comptes, il est important d'intégrer le coût en termes de cybersécurité qui peut résulter de cette acquisition. En effet, connecter directement le réseau de l'entreprise acquise à celui de l'acquéreur sans précaution peut réserver de très mauvaises surprises. En la matière, un audit préalable peut donc être utile. S’agissant des risques liés plus spécifiquement à la mobilité, l’ANSSI rappelle les bonnes pratiques de cybersécurité dans sa campagne de sensibilisation pour les Jeux Olympiques d’hiver de Pyeongchang. Enfin, signalons que les entreprises peuvent se référer au modèle de charte informatique à l’attention des PME, proposé par l’ANSSI sur son site. CRCC de Paris, Matinale du 14 février 2018 « La cybersécurité et le CAC », intervention de François Charbonnier, chef adjoint de la coordination sectorielle de l’ANSSI |