E-commerce et cyberattaques : comment se protéger ? Comment communiquer ? | Replay

La sécurité numérique est l’affaire de tous et si le développement de la cybercriminalité n’est pas nouveau, la gestion de ce risque devient pour les acteurs du e-commerce un impératif. Les cyberattaques frappent aussi bien dans les grands groupes que les TPE/PME. Pour faire le point sur l’état de la cybermenace auprès des professionnels et les spécificités de la communication de crise, nous avons reçu deux experts du sujet : 

• Laurent Verdier, Directeur Formation – Pédagogie et Sensibilisation de cybermalveillance.gouv.fr 
• Alexandre Daudin, Directeur Général de Shan, Agence-Conseil en communication stratégique 

Quelques chiffres sur la cybersécurité et les cyberattaques :

• En 2022, plus de 16 000 professionnels sont venus chercher une assistance en ligne sur Cybermalveillance.gouv.fr, soit une augmentation de 30 % par rapport à l’année précédente.
• 51% des dirigeants prévoient une hausse des investissements dans l’informatique (IT, cybersécurité) en 2023 par rapport en 2022, c’est un point de moins que la RSE.

Cyberattaques : les tendances, les bonnes pratiques les premiers réflexes 

Quelles sont les principales causes de recherche d’assistance des entreprises en 2022 sur cybermalveillance.gouv.fr ?

1. Hameçonnage (27%) : l’hameçonnage (souvent appelé phishing) vise à récupérer des renseignements personnels en se faisant passer pour un tiers de confiance (banque, administration, etc.).
2. Piratage de compte (22%) : il s’agit d’une intrusion dans un système informatique (ordinateur, mobile, serveur, réseau, objet connecté, etc.) grâce à un logiciel malveillant (virus) ou la récupération d’identifiants de connexion (hameçonnage).
3. Rançongiciels (19%) : aussi appelés ransomwares, ce sont des programmes informatiques qui permettent de chiffrer des donnés, ce qui les rend inaccessibles, pour ensuite demander de l’argent en échange de la clé qui permet le décryptage.

Focus DDoS (Distributed Denial of Service) : cela consiste à rendre inaccessible un site ou un service en ligne en saturant le serveur de requête. Pour un site marchand, les conséquences peuvent être très graves car elles entraînent une interruption immédiate des ventes. Pour se prémunir contre ce type d’attaque, il est indispensable de sécuriser les serveurs qui hébergent les sites. Cela peut passer par un Firewall ou un WAF (Web Application Firewall, pour les applications web) qui filtrent et surveillent le trafic HTTP.

Quelques bonnes pratiques en entreprise :

• Sensibiliser les collaborateurs : mener des actions de sensibilisation (diffusion de bonnes pratiques, de documentation, etc.)
• Gérer les mots de passe : des mots de passe différents pour chaque service, suffisamment longs et complexes.
• Sécuriser les réseaux sociaux : protéger l’accès aux comptes, vérifier les paramètres de confidentialité, surveiller les connexions aux comptes.
• Sécuriser les appareils mobiles : faire les mises à jour de sécurité, éviter les réseaux Wi-Fi publics, mettre des codes d’accès.
• Éviter les comportements à risque comme ouvrir une pièce jointe suspecte, connecter une clé USB abandonné, etc.

Que faire en cas de cyberattaque ?

1. Sécuriser : les collaborateurs, les équipements, etc.
2. Alerter et gérer les communications : les collaborateurs, les autorités compétentes, la CNIL (si des données personnelles ont été exposées), les parties prenantes concernées.
3. Remédier et reprendre l’activité : identifier la source, l’étendue de l’attaque et corriger les vulnérabilités avant de reprendre l’activité.

Cyberattaques et communication : qui communique quoi, auprès de qui ?

En cas de cyberattaque, il est indispensable de gérer sa communication pour informer avec le juste niveau de transparence les parties prenantes. En effet, en situation de crise, l’entreprise se retrouve face à un triple enjeu :

• Enjeu organisationnel : rassurer les interlocuteurs internes pour permettre une action efficiente.
• Enjeu communicationnel : reconquérir les conditions d’un dialogue efficace pour permettre un bon relai des messages.
• Enjeu stratégique : préserver le capital financier et/ou réputationnel et la confiance des clients/investisseurs.

3 raisons de communiquer en cas de crise :

• L’absence de communication génère des questions, des doutes, des suspicions et extrapolations.
• Le refus de répondre devient presque plus grave que la crise elle-même.
• Une première communication maîtrisée rassure sur les capacités de gestion de l’entreprise, donne le ton sur l’ensemble de la communication et permet de prendre le leadership sur l’agenda médiatique.

Pour aller plus loin sur ce sujet, accéder au replay et aux présentations [réservés aux adhérents Fevad] 

Voir le replay

Voir la présentation de Cybermalveillance.gouv.fr

Voir la présentation de l’agence Shan