Lutter contre les actes de malveillance

Les cyberattaques sont en recrudescence, et les conséquences peuvent être dramatiques pour les entreprises avec de multiples risques : paralysie des systèmes, vol ou perte de données sensibles, exposition au chantage, e-réputation… Tour d’horizon de ces risques et des solutions pour les éviter.

Avec la crise sanitaire que nous traversons, sites vitrine ou e-commerce, pages sur les réseaux sociaux et autres applications mobiles se sont développés à grande vitesse, souvent dans l’urgence et avec peu de vigilance. D’où l’importance de se faire accompagner pour comprendre les enjeux et pour lutter contre les risques associés. Le nombre de cyberattaques a été multiplié par quatre en 2020 selon l’Autorité nationale de la sécurité des systèmes d’information (ANSSI ¹).  De son côté, la plateforme cybermalveillance.gouv.fr a enregistré une hausse de fréquentation de 155 %. Ce serait plus de 10 000 entreprises qui, à la suite d’une attaque, seraient venues chercher de l’assistance. Ces chiffres démontrent que les cyberattaquants sont de plus en plus organisés. Chaque entreprise traitant un volume toujours croissant de données, la situation peut rapidement prendre une tournure dramatique et entraîner des conséquences fâcheuses : vol de base de données clients, altération de données, modification du contenu affiché sur le site Internet, dégradation de l’image de l’entreprise, amendes… 

La méconnaissance des recommandations et des bonnes pratiques en matière de sécurité des systèmes d’information et l’accélération de la digitalisation amènent bon nombre d’entreprises à s’exposer à de multiples risques. Des risques qui ne sont d’ailleurs retranscrits que trop rarement dans les comptes annuels.

Selon l’opérateur Verizon, en 2020, 40 % des violations de données proviennent d’attaques par le web (sites, applications…). Les données des entreprises constituent donc une cible importante pour les hackers et les cybercriminels. Pour se protéger et protéger ses clients et ses salariés, il convient donc de se poser les bonnes questions lors de la création ou de l’utilisation d’un site web comme pour l’appréciation du risque financier porté à un client à travers son propre site web.

En tant qu’expert-comptable, malgré la complexité du sujet, il est essentiel de jouer un rôle de conseil pour sensibiliser les clients, et de les accompagner dans l’identification des risques liés aux cyberattaques, en particulier via les sites Internet.  

La perte de confidentialité des données 

Le principal risque porte sur une perte de confidentialité des données. Un site web traite de nombreuses données personnelles. À chaque action, les journaux systèmes enregistrent l’activité du site web. Lors de la soumission d’un formulaire (contact, recrutement, questionnaire, mise au panier d’un produit et commande, etc.) des informations sont communiquées au site web. En soi ,ces informations peuvent être sensibles. Si elles sont corrélées (par le système ou par un pirate), elles peuvent revêtir un caractère sensible, révélant des opinions, des comportements, des caractéristiques personnelles.

Les impacts de perte de confidentialité dépendent directement des informations collectées. Les conséquences peuvent être dramatiques, ce qui nécessite alors une appréciation particulière des impacts, appelée AIPD pour « analyse d’impact sur la protection des données » (exigence de l’article 35 du RGPD, le règlement européen sur la protection des données), qui devra être réalisée sur mesure.

La vraisemblance d’un tel risque dépend des mesures mises en place. Dans le cas de la faille de Optical Center en 2015 puis 2018 ², qui a fait école, la Cnil a sanctionné la société pour défaut de sécurité sur son site web : le simple changement d’un numéro d’identifiant dans la barre d’adresse de son navigateur permettait d’accéder au dossier d’un autre client, avec des données sur le numéro de Sécurité sociale, sur la santé… Tels sont les risques lorsqu’une entreprise n’intègre pas de système de sécurité sur son site web dès sa conception.

Le risque sur l’image et l’e-réputation

Un défaut de sécurité portant atteinte à la confidentialité et à l’intégrité des données sur un site web peut avoir des effets néfastes pour l’entreprise et remettre en cause son e-réputation et son attractivité (recrutement, commerce, confiance des actionnaires, financeurs, institutions…).

Le risque juridique

Depuis 2018 et l’entrée en application du règlement général sur la protection des données (RGPD), le risque juridique est majoré par des amendes administratives pouvant aller jusqu’à 4 % du chiffre d’affaires mondial consolidé de l’année précédente d’une entreprise… et une amende administrative ³, « ça va vite », d’autant plus depuis l’adoption d’une procédure simplifiée le 24 janvier 2022 pour la Cnil.

Mais les amendes administratives ne constituent pas le seul risque juridique. Une entreprise fautive par exemple d’une divulgation de données à caractère personnel sur son site web, et là le piratage n’est absolument pas une circonstance atténuante, au contraire, peut également être condamnée pour les torts causés à autrui. Ses dirigeants peuvent également être condamnés au pénal à de la prison ferme si le parquet s’en saisit.

Ainsi le risque juridique devrait amener toute entreprise consciente des réglementations en vigueur à considérer la sécurité de son système d’information et donc , en l’espèce, de son site web, avec le plus grand sérieux.

Le risque financier

Comme nous venons de le voir, le premier risque financier qui vient à l’esprit est le risque lié aux sanctions juridiques, qui va d’un maximum de 4 % du chiffre d’affaires mondial à la réparation des préjudices causés aux tiers. Cependant, cela n’est que le départ.

Après, il faut quantifier le coût des impacts sur les personnes concernées (employés et visiteurs, parmi lesquels des clients, des fournisseurs, etc.), auxquels s’ajoutent les coûts des mesures correctives, nécessairement plus élevés que ceux des mesures préventives ⁴.

Prenons un cas extrême : Maerks,en 2017 ⁵. La cyberattaque aura coûté 300 millions de dollars à l’entreprise, ramenant le coût par employé à 3 300 euros, que chacun d’entre eux aurait sans doute préféré toucher en primes, sans compter les dommages collatéraux. L’assureur Hiscox a publié en 2021 une note sur les impacts financiers d’un tel événement indésirable : 17 % des grandes entreprises touchées par une cyberattaque en 2020-2021 ont déclaré que l’impact était suffisamment grave pour « menacer sérieusement la solvabilité et la viabilité de l’entreprise ». Il en ressort que le manque de maturité des entreprises sur ces sujets étant flagrant, s’il y avait une traduction comptable d’une provision pour risque, les états financiers seraient sans doute bien différents de ceux qui sont établis.

En conclusion, le manque de sécurité d’un site web constitue une vulnérabilité qui engendre un risque dont les conséquences peuvent être lourdes pour les internautes (perte de droits et libertés, atteinte à la vie privée, pertes d’opportunités, arnaques…) mais également pour l’entreprise (conséquences juridiques, financières, perte de marchés, atteinte à l’image, etc.). Les menaces sont donc bien présentes, et il est nécessaire d’en être conscient pour s’interroger sur l’adéquation des mesures de sécurité déployées en contrepartie. De plus, la Cnil prononce aujourd’hui des sanctions assez lourdes en cas de manquement à l’obligation de sécurité imposée par le RGPD, et sur la gestion des cookies et autres traceurs en s’appuyant sur la directive européenne e-Privacy. Un sujet qui n’est donc pas à prendre à la légère.