Pas de trêve olympique pour les pirates informatiques
Les Jeux Olympiques 2024 : Un terrain de jeu pour les pirates informatiques. Les Jeux olympiques de Paris 2024, débutant le 26 juillet, ne seront pas seulement une fête sportive, mais aussi une cible privilégiée pour les cyberattaques. Depuis la pandémie, les cyberattaques ont doublé, menaçant la stabilité financière mondiale. Les entreprises ont amélioré leurs cartes des risques et bilans d'impact, mais les plans de continuité d'activité restent souvent insuffisants. Les trésoriers doivent désormais maîtriser la gestion des cyber risques tout en veillant aux menaces conventionnelles. Les agences de notation financière commencent à introduire des cyber scores pour évaluer la résilience des systèmes de défense.
Si les trente-troisièmes Jeux olympiques de l’ère moderne qui débuteront le 26 juillet par une parade fluviale constitueront une fête pour les amateurs de compétitions sportives, ils pourraient l’être aussi pour les pirates de l’informatique, qu’ils soient guidés par la collecte de données stratégiques, la cupidité ou la volonté de déstabiliser la cible.
Le nombre de tentatives d’attaque repérées à l’occasion des Jeux olympiques de Tokyo en 2021, qui défiait déjà l’entendement du non-initié, pourrait décupler cette année.
De façon générale, le nombre de cyberattaques a doublé depuis la pandémie de coronavirus, selon le Fonds monétaire international, qui y voit une menace de premier plan pour la stabilité financière.
Pour les entreprises industrielles et commerciales, une intrusion malveillante dans leur informatique peut se traduire par des semaines, voire des mois, de perturbations, si bien que la probabilité de défaillance dans les six mois suivant une attaque est majorée de moitié.
Désormais tout à fait conscientes de ce risque latent, elles sont nombreuses à établir des cartes des risques (recension et classement des risques endogènes ou exogènes majeurs) et des bilans d’impact sur les activités, deux documents dont la robustesse s’est sensiblement améliorée au cours des dernières années.
Tel ne semble pas être le cas des plans de continuité de l’activité, troisième pilier des dispositifs de défense, comme le montre le dossier (« Les plans de continuité d’activité, ou l’art délicat de parer au pire », pages 11 et suivantes) de la présente Lettre du trésorier.
Dans les trésoreries, où les processus critiques sont légion et où les circuits empruntés par les données sont complexes, les confinements imposés par la pandémie ont mis les responsables au pied du mur : les procédures d’urgence se sont nettement améliorées.
Mais il y a encore du chemin à parcourir, notamment en matière de mises à jour, cela dans un domaine où les chausse-trapes ne manquent pas : on peut par exemple entretenir l’illusion selon laquelle les données, sous prétexte qu’elles sont hébergées dans des serveurs externes (cloud), peuvent être facilement reconstituées.
Il convient par ailleurs, en matière de gestion des risques, d’éviter l’écueil consistant à habiller Paul en déshabillant Pierre : une trop grande attention portée à la menace cyber – certes majeure - dans l’élaboration d’un plan de continuité d’activité peut amener à baisser la garde à l’égard de sinistres plus conventionnels, incendies ou inondations par exemple, dont les conséquences peuvent être désastreuses.
Bref, le trésorier, une fois de plus, est invité à élargir ses domaines de compétence. Il sera demain prié par les agences de notation financière, qui commencent à développer des modèles visant à établir des cyber scores, de décrire les systèmes de défense qu’il aura contribué à élaborer.
Par Arnaud Brunet, rédacteur en chef de l’AFTE
Page " Dossier " La Lettre du trésorier de juin 2024
Pour la consulter (réservé aux abonnés) : https://www.afte.com/lart-delicat-des-plans-de-continuite