Toulouse. Jean-Baptiste Garin : "La cybersécurité est majeure, sécurisons nos entreprises !"

Chaque mois, nous proposons à un chef d’entreprise adhérent du Medef de Haute-Garonne de commenter le contexte politique, social ou économique. Ce mois-ci, Jean-Baptiste Garin, dirigeant de myDigitplace, veut sensibiliser les entreprises sur les enjeux de la cybersécurité dans un contexte inflationniste des attaques informatiques.

Jean-Baptiste Garin, qui dirige myDigitplace à Toulouse, veut sensibiliser les chefs d'entreprise à la nécessité d'une bonne cybersécurité. (Photo : myDigitplace)

Jean-Baptiste Garin, qui dirige myDigitplace à Toulouse, veut sensibiliser les chefs d'entreprise à la nécessité d'une bonne cybersécurité. (Photo : myDigitplace)

Et vous, la cybersécurité ça vous parle ? En qualité d’entrepreneur, nous nous battons continuellement pour faire grandir, avancer ou sauver nos entreprises. Les enjeux et difficultés du parcours sont nombreux. Nous ordonnons les priorités, nous sondons les risques, nous organisons les objectifs et malheureusement nous sommes souvent la tête dans le guidon.

Tel un être vivant, nos entreprises ont besoin que nous pratiquions leur introspection. L’écosystème dans lequel elles évoluent change très rapidement, de plus en plus rapidement. C’est un fait, hier un ordinateur était un atout, dans les années 2000 avoir un site web semblait être un luxe que certain ne pouvaient pas se permettre. Les révolutions successives du numérique (l’arrivée du très haut débit, la mobilité, les smartphones, les capacités toujours plus puissantes de nos systèmes…), puis les premiers scandales qui s’en suivirent (Snowden en 2013, Cambridge Analytica 2018, Pegasus 2021) pour ne citer que c’est trois-là.

Aujourd’hui, l’informatique s’est imposé dans toutes nos organisations, nous ne pouvons plus imaginer revenir au papier, déplacements, fax …etc. La performance apportée par les nouveaux outils (ordinateurs, smartphones, logiciels…) est telle qu’il est impossible de concevoir son entreprise sans son système d’information numérique.

MyDigitplace, un accompagnateur sur la cybersécurité et le RGPD

Jean-Baptiste Garin a créé myDigitplace en 2016 « dans le but d’accompagner les entreprises dans leurs transitions numériques". Après une année compliquée, il s’est réorienté vers la protection des données en se formant au métier de DPO (Délégué à la protection des données). Il a ensuite commencé à accompagner des clients dans la mise en œuvre de la réglementation dès avril 2018, après un an de tour de France pour sensibiliser aux risques numériques et à la mise en œuvre du règlement.

Aujourd’hui, myDigitplace accompagne près d’une centaine de clients sur les sujets de la cybersécurité et du RGPD. L’entreprise développe un outil référencé parmi les trois meilleurs du marché selon la plateforme monexpertdudroit.com.

Prenons une respiration, ouvrons notre regard !

Imaginez-vous : 7h30 un café, j’enfile une veste, je pars travailler, le stress aujourd’hui, j’ai un rendez-vous crucial pour l’avenir de mon entreprise. Pour l’occasion, j’ai préparé tous mes documents, je me suis paré de mon plus beau costume ! « Allez ça va le faire ». 8h18 des bouchons, Waze m’indique encore 10 minutes pour arriver au bureau… 8h28 Waze m’indique encore 5 minutes ! Bon ok, ça va le faire, le quart d’heure toulousain est là pour ça ! 8h35 j’arrive enfin ! Mon rendez-vous est devant, ok j’ouvre, je les fais entrer. Direction salle de réunion. 8h50 enfin je vais pouvoir démarrer, j’allume mon PC… HORREEEUUURR ! Plus rien ! Ça ne marche pas ! NONN ! 10h mon rendez-vous est parti, et la sentence tombe : « Chef, on est victime d’une cyberattaque on a tout perdu ! ».

Voilà le genre de situation dont sont victimes des milliers d’entreprises chaque année. Déposer plainte, communiquer, s’entourer ? Malheureusement, entre culpabilité, risque sur l’image et autres aspects néfastes, le dirigeant préfère trop souvent la voix du silence. En 2016, la CCI Occitanie a révélé que 60% des PME/PMI impactées par les cyberattaques mettaient la clé sous la porte à court terme…

Selon une étude d’OpinionWay réalisée pour le Cesin (Club des experts de la sécurité de l'information et du numérique), 45% des entreprises ont constaté une cyberattaque en 2023 ! Chiffre en légère baisse en comparaison de 2022 « Peut-être le fruit du travail entrepris depuis plusieurs années pour sensibiliser les dirigeants, dans tous les cas ne nous relâchons pas, quasi une entreprise sur deux c’est encore beaucoup trop ! », estime l’étude.

Les impacts des cyberattaques

Voici les impacts des cyberattaques :

  • Dans 24% des cas elles perturbent la production et dans 10% elles créaient un arrêt de production
  • Dans 14% des cas elles créaient une perte d’image et ont un impact médiatique
  • Dans 14% des cas il y a une compromission d’information
  • Indisponibilité d’un site web dans 13% des cas
  • Transactions frauduleuses avec perte financière dans 9% des cas
  • Dans 8% des cas nous retrouvons des retards de livraisons
  • Une perte de chiffre d’affaires dans 7% des cas
  • 4% d’entre elles ont un autre impact
  • Et seulement 1% d’entre elles sont sanctionnées par une autorité

Selon le rapport 2022 de l’assureur HISCOX, parmi les entreprises ayant subi une attaque, une sur cinq a déclaré que sa solvabilité avait été menacée. Selon le même rapport, les entreprises dont le chiffre d'affaires est compris entre 90 000 et 450 000 euros peuvent désormais s'attendre à autant de cyberattaques que celles qui gagnent entre 900 000 et 8,1 millions d’euros par an.

Du côté de l’Europe, ça bouge !

On sait tous qu’en 2018 est apparu un règlement visant à protéger les données personnelles (le fameux RGPD), ce dernier impose à toutes les entreprises, organismes publiques, associations, de tenir un registre des traitements et de sécuriser les données personnelles selon des règles bien établies. A savoir que depuis 2022 un décret est entré en application visant à simplifier la procédure de sanction de la CNIL pour les manquements simples ou faisant appel à une décision déjà émise ultérieurement (sanction pouvant aller jusqu’à 20 000 euros et astreinte à 100 euros/jour).

Deux nouvelles directives européennes sont arrivées depuis fin 2022 : NiS2 et DORA. NiS 2 vise à renforcer le niveau de cybersécurité des OSE (Opérateurs de services essentiels) et FSN (Fournisseurs de Services Numériques). Elle concerne les secteurs suivants : fourniture et distribution d’eau potable, énergie, électricité, pétrole, gaz, infrastructure numérique , infrastructures de marchés bancaires et financiers, santé, établissement de santé, transport aérien, ferroviaire, routier, voie d’eau, les gestionnaires d’eaux usées et de déchets, les fabricants de « produits critiques » (ex : médicaux, électroniques, etc.), les services postaux et de messageries, les administrations publiques (en premier lieu les administrations centrales, à l’exception de la défense, la sécurité nationale, la sécurité publique, le légal et le système judiciaire).

Seul le secteur des Infrastructures de marchés bancaires et financiers est sorti du périmètre NIS, ce secteur étant couvert par le règlement européen DORA.

D’accord… mais on fait quoi maintenant ?

La cybersécurité c’est un métier, et malheureusement il est en tension Mais rassurez-vous, des acteurs de terrain existent pour vous accompagner. Le tout est de faire les choses dans l’ordre et de bien s’entourer.

De mon avis d’expert et après plusieurs années d’expériences clients, de la TPE à l’ETI, je crois qu’il faut commencer par en parler. 35% des incidents sont d’abord dus à l’humain, le maillon faible de la chaîne ! Sensibilisons nos employés, vous ne laisseriez pas une personne sans permis conduire un de vos véhicules d’entreprise, alors ne laissez pas un employé naviguer sur un ordinateur pro sans l’avoir formé aux risques et solutions !

Ensuite, sécurisez-vous ! Deux axes, le respect de la réglementation et la protection cyber. La réglementation impose et oriente, donc je dirais : commencez à la mettre en œuvre en priorisant les actions. Faire un premier audit de son système d’information pour reprendre les bases, prévoyez un plan d’investissements, continuer de documenter la conformité pendant ce temps et une fois au bout du parcours ne faites jamais une confiance aveugle en vos fournisseurs, réalisez un test d’intrusion. Restez informés et faites évoluer vos systèmes avec leur époque.

La réussite d’un tel projet passe par la collaboration entre les différents partis, le DSI et/ou RSSI « service informatique », un DPO (chargé d’orchestrer la mise en œuvre réglementaire) et une direction générale à l’écoute et totalement inclue au projet. Sécuriser son entreprise c’est aussi sécuriser son écosystème, nous sommes tous interconnectés. Ne laissons pas nos entreprises attraper un virus de plus !

Les rendez-vous sur la cybersécurité en Occitanie

Vendredi 31 mars 2023, dans le cadre de sa semaine de la transformation numérique, la Mêlée propose une journée dédiée à la cybersécurité, de 9h à 18h. Au programme : un webinaire cybersécurité & RGPD, du coaching en cybersécurité et un atelier “Les RDV de la sécurité numérique”, qui se tiendra aussi bien à Toulouse et Montpellier.

Mardi 13 juin 2023, se tiendra la 9e édition des Rencontres Cyber Occitanie, à Diagora Labège, de 8h30 à 19h, sur le thème "Quelle cybersécurité pour demain ?".

A lire aussi