« 80 % des cyberattaques sont menées vers des petites entreprises ou des associations »

Christine Clair, vous êtes formatrice spécialisée en Cyber Sécurité. Quel a été votre parcours ?

J’ai travaillé durant plus de 25 ans dans le secteur bancaire, et je me suis prise de passion pour les sujets stratégiques, et plus particulièrement ceux relatifs au pilotage des risques. Il y a quelques années j’ai décidé d’orienter ma carrière professionnelle dans le domaine de la sécurité des usages du numérique, et notamment sur le volet « prévention des risques de fraudes », dont le risque cyber.

 

Pourquoi avoir choisi spécifiquement ce domaine de la Cyber Sécurité ?

Au travers mon parcours, j’ai souvent constaté un déni de conscience sur ce sujet, ce qui me semble aberrant si l’on tient compte des impacts et des enjeux de croissance que cela implique, avec des enjeux humains liés aux questions de Cyber Sécurité.

 

Vos formations ont donc pour objectif de sensibiliser aux risques cyber mais aussi de donner des clés pour s’en prémunir…

Tout à fait ! Au travers de ma structure 3C-Conseil, je créée des parcous de sensibilisations dont le but principal est de sécuriser la relation au numérique au sein des entreprises, pour leurs collaborateurs.

Concrètement, j’insiste beaucoup sur les fraudes ! Parce que la cybercriminalité n’est finalement qu’une forme de fraude moderne, une fraude 2.0 commise sur des réseaux de télécommunications et notamment sur Internet. J’aide les entreprises et leurs collaborateurs à mieux comprendre les types de fraudes qu’ils peuvent rencontrer, pour qu’ils puissent mieux se sécuriser en amont.

 

Vous analysez les pratiques des fraudeurs pour mieux les décrypter…

C’est le principe de mon accompagnement. Mon rôle consiste, notamment, à présenter les différents modes opératoires des attaquants et de rendre concret un sujet abstrait. On se défend mieux lorsqu’on connaît les tactiques de ses adversaires, et ainsi adopter des stratégies pour que ces tentatives d’attaque restent des tentatives…

 

Quels sont les principaux moyens à mettre en œuvre pour ne pas être victime de cyberattaques ?

Pour se prémunir, un des efforts réside dans l’éducation aux bonnes pratiques numériques. Les actions de formation que je mène régulièrement auprès des collaborateurs d’entreprises ou d’associations y contribuent.

 

Le risque cyber est aujourd’hui très important, puisque 3 PME sur 4 sont victimes chaque année d’une attaque informatique. Pourtant de nombreuses structures semblent encore minimiser ce risque et ses conséquences. Pourquoi ?

Il y a malheureusement encore aujourd’hui un déni de la part de certaines structures qui pensent échapper aux risques cyber parce qu’elles sont trop « petites ». Les gros groupes se sont très vite organisés face aux cyberattaques parce qu’ils ont été les premiers à y être confrontés.

En 2021, une grande entreprise sur deux déclarait avoir été victime d’une cyberattaque réussie auprès de l’ANSSI. Mais aujourd’hui, ce sont bien les PME et TPE qui concentrent l’essentiel des tentatives frauduleuses et protéger les données n’est plus une option. Il faut bien garder en tête que 80 % des cyberattaques sont menées vers des petites entreprises ou des associations !

Cependant, il reste effectivement un très gros travail de sensibilisation à mener auprès des TPE/PME et des ETI.

 

Auprès de qui faut-il insister pour diffuser cette culture de la prévention ?

Il faut bien évidement travailler auprès des dirigeants, mais également auprès des Fédérations professionnelles ou bien encore auprès des partenaires qui conseillent les entrepreneurs au quotidien comme les Experts-Comptables ou les Commissaires aux Comptes, engagés sur ces sujets afin de préserver leur éco-système.

 

Comment les Experts-Comptables et les Commissaires aux Comptes peuvent-ils contribuer à la prise de conscience des entreprises sur ce sujet de la Cyber Sécurité ?

Les Experts-Comptables et les Commissaires aux Comptes sont, par nature, au cœur de ce qui concerne la sécurité financière de l’économie. Ils sont naturellement des interlocuteurs privilégiés des dirigeants sur tout ce qui touche aux risques financiers supportés par les entreprises. Mais attention, il ne faut pas se focaliser uniquement sur les risques financiers, même s’ils sont les plus importants. Il existe également d’autres types de risques : réglementaires, réputationnels, humain, désorganisation, etc.

 

Vos actions de formation sont donc complémentaires avec les missions de conseil des cabinets d’audit et d’expertise comptable…

Oui, ces actions sont extrêmement importantes pour des petites structures qui sont pour la plupart moins équipées et moins bien formées aux risques cyber. De plus, les attaques menées par les pirates informatiques ont souvent des conséquences en cascade. Lorsqu’une petite structure est touchée, elle permet involontairement à l’assaillant d’atteindre plusieurs autres structures. C’est ce qu’on appelle l’effet de rebond.

 

L’enjeu principal est donc de limiter au maximum les risques cyber au sein des entreprises et des structures associatives ?

Oui, car le risque zéro n’existe pas. Lorsqu’on apprend à un enfant à faire du vélo, on sait qu’il va tomber mais notre rôle de parent c’est qu’il se fasse le moins mal possible.

Lorsqu’on met en place une stratégie de Cyber Sécurité, il y a deux piliers. Le premier c’est de minimiser les risques, le deuxième c’est de savoir comment réagir et agir face à une attaque.

Enfin, il y a une dimension à ne pas négliger c’est l’investissement financier nécessaire pour se prémunir, qui est finalement minime par rapport aux conséquences d’une attaque, notamment en renforçant le maillon faible de la chaine de sécurité : le maillon humain !