Les entreprises sont de plus en plus touchées par la cybercriminalité. Ce phénomène a été particulièrement mis en avant depuis la guerre en Ukraine avec des attaques qui se sont multipliées. Elle reste une notion large qui regroupe toutes les infractions pénales susceptibles de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau. Cette nouvelle forme de criminalité et de délinquance se distingue des formes traditionnelles puisqu’elle se situe dans un espace virtuel, le « cyberespace ».
Depuis quelques années, la démocratisation de l’accès à l’informatique et la globalisation des réseaux ont été des facteurs de développement des entreprises mais aussi parallèlement du « cybercrime », facteur qui ne touche pas seulement les grands groupes.
Des exemples de menaces
On peut citer de nombreuses menaces potentielles pour une entreprise. Parmi elles, le cross-site scripting qui permet d’attaquer les serveurs internet par injection de contenu) ou encore des attaques en interne (par exemple un programme malveillant, introduit via une clé USB, qui exploitera une faille du système d’exploitation pour exfiltrer des données sensibles) mais ce ne sont pas les seules et on entend régulièrement parler du hameçonnage (phishing), harponnage (spear phishing), attaques par déni de service (DoS), déni de service distribué (DDoS) ou encore du téléchargement furtif (drive-by download)… Les entreprises doivent donc être vigilantes face à ces attaques qui peuvent conduire à des vols ou des destructions de données, voire au blocage du système.
Exemple dans le domaine de la santé
Comme toute structure, les hôpitaux sont vulnérables aux attaques informatiques. Les DMP (dossiers médicaux personnels) instaurés dans le but d’améliorer la coordination et la continuité des soins tout en assurant une traçabilité de l’information sont aujourd’hui en dangers du fait de ces cyberattaques.
Les récentes actualités ont parlé de dossiers médicaux personnels mis sur le net et de bugs sur les logiciels médicaux ayant entraîné des complications sur des patients. Ces affaires s’inscrivent dans le débat sur la confidentialité et la sécurité des DMP et posent de nombreuses questions, dont celle de leur exploitation par des établissements bancaires et d’assurances.
Malgré l’encadrement strict de la prestation d’hébergement des données de santé, la cybercriminalité menaçante a obligé les constructeurs de matériels médicaux et le personnel soignant à être vigilant. En dehors de cette mesure, la réaction dans le domaine de la santé pour protéger les fichiers peut inspirer les PME puisqu’on voit que les premières mesures ont cherché à limiter ce qui reste la défaillance en protection majeure : l’humain. Le personnel se doit de rester vigilant à la diffusion des données personnelles et anticiper les conséquences de futures attaques.
Pour parer à cette éventuelle menace
L’analyse des risques apparaît comme essentielle afin de concilier les exigences métiers aux exigences de sécurité. Bien sûr, les constructeurs doivent également intégrer la sécurité dans les dispositifs (médicaux pour la santé).
Pour aller plus loin, vous pouvez également vous baser sur les normes : ISO 27000 overview and vocabulary, ISO 27001 ISMS requirements, ISO 27002 code of practrice, ISO 27004 Measurement, et 27005 Risk Management. En dehors des normes, il s’agira surtout de sensibiliser vos salariés à ce risque afin qu’ils ne laissent pas traîner leurs mots de passe par exemple ou ne se rendent pas sur des sites qui mettent votre système informatique en danger.
En conclusion, sachez qu’une gestion des risques pour un maintien du capital immatériel correspond généralement à la valeur de l’entreprise pour 80 % d’après la Banque Mondiale.