Les risques cyber sont considérés comme l’un des principaux enjeux pour l’économie mondiale, tout secteur d’activité confondu. Avec la crise sanitaire, les cyberattaques se sont multipliées de façon exponentielle, faisant peser sur les systèmes informatiques un niveau de cyber risques jamais atteint auparavant. Les conséquences sont variées, allant de la perte de données jusqu’à l’arrêt des chaînes de production, mais ont généralement un coût non négligeable. Il appartient aux dirigeants d’entreprises de protéger leurs actifs, y compris leurs données sensibles et leur image de marque. Aujourd’hui, tous les métiers sont concernés par la cybersécurité et la fonction achats ne fait pas exception.
Risque cyber : définition et enjeux
L’Institut de Gestion des Risques décrit les risques cyber comme « tout risque de perte financière, de perturbation ou d’atteinte à la réputation d’une organisation résultant d’une défaillance quelconque de ses systèmes de technologie de l’information. »
Ces risques proviennent généralement de cyberattaques, orchestrées par des acteurs malveillants. Depuis quelques années, l’essor du télétravail associé à la croissance des activités en ligne (réseaux sociaux, par exemple) a démultiplié le trafic sur le web. Cela a conduit à la prolifération et la professionnalisation des cyberattaques, quelle que soit leur nature (cybercriminalité, atteinte à l’image, espionnage ou même sabotage).
Les conséquences peuvent être dramatiques :
- Perte de données essentielles ;
- Interruption de l’activité ;
- Dommages aux biens ;
- Vol ;
- Perte de parts de marché ;
- Perte de secrets commerciaux ou d’informations confidentielles ;
- Extorsion de fonds ;
- Rupture de contrat ;
- Rappel de produits ;
- Coûts de notification et autres coûts de réponse.
- L’Europe concentre 31 % des cyberattaques, devant l’Amérique du Nord (27 %) et l’Asie (25 %)[1] ;
- 37 % des menaces sont spécifiquement conçues pour utiliser des supports amovibles tels que des clés USB[2] ;
- Les fichiers PDF sont les pièces jointes les plus courantes dans les e-mails malveillants[3].
Le risque cyber dans la fonction achats
Au même titre que tous les autres services, les directions des achats sont également concernées par les risques cyber. D’après une récente enquête menée par PwC, 90 % des décideurs se disent préoccupés par les cybermenaces et 27 % d’entre eux affirment avoir déjà été victimes d’une intrusion.
Cela soulève deux grands enjeux pour le service achats, en matière de productivité et de compétitivité.
La productivité
Les directions des achats utilisent de plus en plus de solutions digitales pour leurs opérations quotidiennes (passage de commande auprès de leurs fournisseurs, signature électronique, etc.). Si elles s’en trouvent privées momentanément, cela se répercutera immanquablement sur les activités de l’entreprise et de ses partenaires.
La compétitivité
La fonction achats exploite différents types de données qui peuvent être convoitées par les cybercriminels (plans, prix, coordonnées…). Si elles s’en trouvent privées ou si cette data est corrompue, cela entraîne une perte de valeur.
La gestion des risques cyber en 4 étapes
Les entreprises doivent garantir la cybersécurité tout au long du cycle de vie du risque cyber. Pour cela, il faut allier analyse, proactivité et réactivité grâce à la mise en œuvre de bonnes pratiques.
1. Analyse des risques cyber
Dans un premier temps, l’entreprise doit identifier toutes les vulnérabilités et menaces qui pourraient l’impacter de près ou de loin. Pour cela, elle passe au peigne fin l’ensemble de son environnement et identifie les activités dites « significatives ». Cela peut concerner les objectifs stratégiques, la protection des données, la conformité réglementaire, etc.
Chaque risque fait ensuite l’objet d’une description détaillée : conséquences, probabilités, personnes impliquées… Puis, ils sont estimés (de façon qualitative ou quantitative) et évalués pour aboutir à une décision.
2. Traitement au cas par cas
Dans un second temps, l’entreprise prend des mesures adaptées à cette analyse. Plusieurs actions sont possibles :
- Décider de prendre un risque cyber ;
- Essayer d’en réduire l’impact ;
- L’éradiquer ;
- Opter pour une assurance cyber ;
- Etc.
Souvent, le mot d’ordre est la prévention. Anticiper le risque cyber avant qu’il se produise passe par l’utilisation de logiciels de sécurité tels que des antivirus, des pare-feux, des systèmes de détection d’intrusion, etc.
L’entreprise peut aussi mettre en place des politiques de sécurité pour protéger les données sensibles, par exemple, en utilisant des mots de passe complexes ou en cryptant les données.
3. Communication avec les parties prenantes
Dans la gestion des risques cyber, la communication est indispensable, que ce soit en interne ou en externe. Il faut notamment désigner les responsabilités de chacun, briefer la direction générale, accompagner ses partenaires dans cette démarche, mais aussi, et surtout, sensibiliser les collaborateurs.
Ce dernier point est capital, car les collaborateurs sont souvent en première ligne des cyberattaques. D’après IBM, 90 % des failles de cybersécurité sont d’ailleurs imputables à une erreur humaine. C’est pourquoi il faut former régulièrement ses équipes en matière de sécurité informatique, avoir l’assurance qu’ils en comprennent les enjeux et qu’ils s’approprient les politiques internes. Certaines entreprises vont même jusqu’à réaliser des tests de phishing (hameçonnage) afin d’évaluer leur résistance !
- Chaque collaborateur reçoit en moyenne 14 e-mails malveillants par an [3]
- 80 % des personnes utilisent leur ordinateur personnel pour télétravailler bien qu’elles aient, pour la plupart, un ordinateur professionnel à disposition[4] ;
- Dans plus d’un tiers des entreprises, les collaborateurs contournent ou désactivent les mesures de sécurité à distance[5].
4. Surveillance des risques cyber sur le long terme
Il convient désormais de surveiller les mesures de sécurité afin de gérer ou de prévenir tout incident. De plus, l’entreprise évolue avec le temps : nouveaux actifs, nouvelles activités, nouveaux risques, nouvelles menaces, etc. Il est donc important d’inscrire sa gestion des risques cyber dans le cadre de l’amélioration continue. Cela implique de mettre à jour et d’adapter les mesures de sécurité en fonction de ces nouveaux paramètres.
Chacun de ses membres est garant de la cybersécurité de l’entreprise. C’est pourquoi la prévention des risques cyber est de mise à tous les niveaux de l’organisation, tous métiers confondus.
[1] X-Force Threat Intelligence Index, IBM Security, 2021
[2] Industrial Cybersecurity USB Threat Report 2021, Honeywell, 2021
[3] Must-Know Phishing Statistics, Tessian, 2021, mis à jour 2022
[4] Kaspersky Consumer IT Security Risks Report 2021, Kaspersky, 2021
[5] The State of Hybrid Workforce Security 2021, Palo Alto Networks, 2021