Cyber-risque – le coût élevé de la négligence

La nouvelle de lundi a eu l’effet d’une bombe : en vertu du nouveau règlement général sur la protection des données (GDPR), les autorités britanniques ont déposé une amende d’un montant de 183,5 millions de livres sterling contre British Airways pour un vol de données affectant 500 000 clients.

Représentant environ 1,5 % du chiffre d’affaires annuel de l’entreprise, la pénalité infligée à l’emblématique marque britannique est un avertissement à tous que la sécurité et la confidentialité des données ne doivent pas être prises à la légère. Alors qu’Alex Cruz, président du conseil et chef de la direction de British Airways assure que la compagnie a toujours réagi rapidement aux tentatives de vol de données criminelles et n’avait auparavant aucune indication d’activité frauduleuse liée aux comptes piratés, Michael Veale, chercheur en droits numériques à l’University College London, affirme que le vol était « entièrement évitable [et] résulte de pratiques techniques et organisationnelles négligentes ». En Europe, l’application de la réglementation GDPR manifeste la volonté de tenir les entreprises responsables des données qu’elles détiennent et de lutter contre la menace pressante d’attaques massives contre la cybersécurité.

Cet avertissement survient dans un contexte où les cyberattaques sont à la hausse et où les entreprises sont de moins en moins bien équipées pour protéger la quantité croissante d’information qu’elles recueillent, stockent et utilisent. Selon le rapport Hiscox 2019 sur l’état de préparation à la cyberactivité, 61 % des 5 400 entreprises interrogées ont signalé des attaques au cours des 12 derniers mois, soit une augmentation de 20 % par rapport à l’année précédente, tandis que moins d’entreprises ont obtenu la note d’expert au Cyber Readiness Test. Les coûts moyens liés aux cyber-attaques ont également bondi de 34 000 $ à 200 000 $ l’année suivante ; les trois quarts des répondants prévoyaient voir leur budget de cybersécurité passer à 1,5 million de dollars en moyenne.

Dans la foulée de la multiplication des réglementations et en même temps de la multiplication des cybermenaces provenant d’individus et d’entités géopolitiques, les dirigeants d’entreprise doivent mettre à l’agenda de leur conseil d’administration une véritable discussion sur les implications des questions de cybersécurité au sein de l’entreprise et, conséquemment, concevoir, implanter et monitorer un plan de défense approprié.

Certes, le personnel – en tant qu’acteur essentiel des opérations de l’entreprise – doit être formé en permanence aux standards et aux implications de la cybersécurité; les mots de passe doivent être protégés par des outils d’authentification multifactoriels, de préférence des clés physiques ou des applications dédiées ; mais les entreprises devraient également investir dans des solutions plus sophistiquées car les robots malveillants deviennent les outils préférés des pirates pour infecter les machines. Enfin, à mesure que les questions juridiques et de protection de la vie privée s’imbriquent de plus en plus dans la technologie sous-jacente, des voix s’élèvent pour la création d’équipes où des départements, traditionnellement séparés, fusionneraient.

Dans tous les cas, la nécessité d’investir dans des mesures de cybersécurité est donc devenue évidente ; l’environnement d’affaires évolue et si les entreprises ne prennent pas les mesures appropriées pour assurer la sécurité et la confidentialité des données qu’elles possèdent, elles risquent de perdre plus que leur réputation et leur clientèle, comme l’a découvert British Airways.

Partager:
Retour vers toutes les nouvelles

Laisser un commentaire