El cibercrimen está explotando. Casi la mitad de las empresas francesas fueron objeto de un ciberataque en 2020. Y 16 % de estos ataques amenazan la supervivencia misma de las VSE, las pymes y las medianas empresas que son víctimas. Ante esta observación, el Senado presentó 22 propuestas para mejorar la ciberseguridad de las empresas, incluidas las más modestas. Hemos seleccionado las 10 medidas clave.
La crisis sanitaria ha propiciado la generalización del teletrabajo, ha fomentado el desarrollo del comercio electrónico y ha incrementado el uso de equipos informáticos personales en el ámbito profesional. Todos estos factores han aumentado el riesgo de que las empresas se vean expuestas a ciberataques.
La ciberdelincuencia dirigida a las empresas se está acelerando
Si bien las grandes empresas y la mayoría de las medianas empresas (ETI) han tomado medidas para protegerse, el ciberdelito se ha desplazado hacia las pequeñas empresas, lo que ha provocado un aumento de los actos de piratería en 2020. Las cifras son edificantes:
- 43 empresas % notaron un incidente de ciberseguridad en 2020,
- 16 ciberataques % amenazaron la supervivencia de una empresa en 2020,
- 300 % aumento de ataques de ransomware entre 2020 y 2021, según la Agencia Nacional Francesa de Seguridad de los Sistemas de Información (ANSSI),
- 6 billones de dólares al año, es el costo del cibercrimen a nivel mundial en 2021, el doble que los 3 billones de dólares de 2015.
Frente a esta evaluación, el Senado presenta una serie de propuestas para ayudar mejor a las pymes y las VSE a afrontar este desenfrenado ciberdelito. Apoyado por los senadores Sébastien Meurant y Rémi Cardon, el informe informativo de la Delegación Empresarial del Senado presentada el 10 de junio señala las deficiencias de las autoridades públicas, en particular el desconocimiento “de la gran mayoría de las empresas” de los actores públicos en materia de ciberseguridad. También señala la débil protección de las PYME y las VSE frente a estas amenazas.
Las pequeñas y medianas empresas son el eslabón débil
Con el aumento masivo del teletrabajo, los departamentos informáticos de las grandes empresas han implementado una política de Confianza cero (confianza cero): Ningún usuario de la red es completamente confiable. Además, el Calificación ASG (medio ambiente, sociedad, gobernanza) ahora tiene en cuenta la ciberseguridad, que se convierte así en una dimensión esencial de la gobernanza empresarial y la responsabilidad social (RSC).
Si los grandes grupos y las ETI” tomó medidas defensivas complicando la tarea de los ciberdelincuentesls", Esto tuvo el efecto de desviar el cibercrimen hacia las empresas más pequeñas., ya no lucha. Las VPE y las PYMES carecen de recursos humanos y técnicos, así como de una cultura de ciberseguridad. El empleado suele ser el eslabón débil o incluso un caballo de Troya para los ciberdelincuentes. Las VSE/PYME compensan esta falta de recursos (cuando miden el beneficio y el alcance) mediante el uso de la nube y la subcontratación.
Menos protegidos, se convierten en la puerta de entrada de numerosos ciberataques que pueden propagarse por efecto dominó. " Esta transferencia de riesgo hacia proveedores, subcontratistas y clientes sigue debilitando, vía retroalimentación, la ciberseguridad de las grandes empresas. » señala el informe. Un fenómeno conocido como “ ataque a la cadena de suministro ".
¿Cuáles son las principales ciberamenazas?
En ataques de ransomware se convirtió en la principal amenaza en 2020 con, como medio de intrusión, la penetración en la red de la empresa víctima a través de su acceso externo, en particular tras la explotación de una vulnerabilidad de seguridad no corregida. En segundo y tercer lugar se encuentran los hackeos de computadoras y de cuentas en línea. hecho posible después del phishing (suplantación de identidad) mediante correo electrónico falso o reutilizando la misma contraseña en varios sitios.
Las empresas más pequeñas creen que están a salvo de estos ciberataques. Pero se trata de una ilusión a veces fatal: una empresa puede cerrar tras un ciberataque. Y los costes indirectos a veces se hacen patentes tras un largo periodo de latencia. Para un ciberataque preparado en tres a seis meses, la empresa experimenta una crisis intensa de tres semanas y tarda tres meses en volver a la normalidad. Sin embargo, las repercusiones pueden durar tres años.
La explosión del Internet de las Cosas (IoT), la inteligencia artificial (IA) y la llegada del ordenador cuántico exigen que las empresas aumenten significativamente su nivel de ciberseguridad.
Para ello, el informe recomienda una serie de propuestas. Los diez principales son:
1. Promocionar el sistema Cybermalveillance.gouv.fr
Francia cuenta con un sistema nacional de apoyo a las víctimas de ciberataques, el cibermalveillance.gouv.fr. Renovada a principios de 2020, su misión es ayudar a las víctimas, informarlas sobre las amenazas y cómo protegerse. De aquí a 2020, 10.000 empresas " acudió en busca de ayuda tras una agresión. » Para fortalecer su número y sensibilizar a los jóvenes, los estudiantes con habilidades digitales adecuadas podrían realizar allí su servicio cívico.
2. Abra una ventana de recopilación de quejas anónima
Los senadores proponen abrir esta ventana para animar a las empresas a denunciar los ciberataques sin dañar su reputación. Una medida de este tipo también desalentaría la publicidad sobre el malware y permitiría recopilar datos estadísticos fiables.
“Actualmente no existe ninguna organización cuya misión sea recopilar y anonimizar los ciberincidentes” deploramos a los senadores y agregamos: “ Esta ausencia de una base de datos contribuiría a la concienciación sobre el riesgo cibernético. »
3. Hasta 5.000 € de crédito fiscal para equipamiento y formación.
El Senado recomienda el establecimiento de un crédito fiscal para las VPE y PYMES que cubriría hasta el 50 % de sus gastos de equipamiento (software o suscripción a la nube) y formación en ciberseguridad, y esto, hasta 5.000 euros.
4. Permitir el reembolso del seguro por pérdidas cibernéticas
Las compañías de seguros deben cubrir las pérdidas cibernéticas. Para ello, los senadores proponen:
- enumerar exhaustivamente los distintos desastres posible,
- reserva de reembolso del seguro para las empresas que hayan utilizado Expertos en software y ciberseguridad certificados con el sello “ExpertCyber” ",
- crear una agencia de calificación cibernética Europea, utilizando los estándares de ANSSI o su equivalente europeo, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA).
Es más, Los senadores no quieren que el riesgo de un ataque de ransomware sea asegurable. (Secuestro de datos). Si la aseguradora pagara un rescate a los ciberdelincuentes esto no garantizaría que la empresa pudiera recuperar sus datos o reiniciar su actividad. Asegurar el ransomware fomentaría las represalias, financiaría el cibercrimen e incluso el terrorismo. “ Los rescates atraen a los delincuentes. Estamos viendo una disminución de los ataques a los hospitales públicos, porque no pueden permitirse pagar un rescate. » justifica el senador Sébastien Meurant.
5. Desarrollar la oferta de un conjunto de soluciones de ciberseguridad
Los senadores quieren que las VSE y las PYMES tengan acceso a un “paquete” de soluciones de ciberseguridad fácil de usar.
6. Facilitar la puesta en común de gerentes de seguridad de servicios de TI (CISO)
El informe pide la formación de grupos de empleadores con estatus de terceros confiables para agrupar a los CISO. Las VSE y las PYMES que no tienen un CISO podrían así beneficiarse de su experiencia.
7. Contar con una auditoría anual de ciberseguridad realizada por contadores y auditores
Los senadores invitan a los contadores públicos y auditores (CAC) a realizar “ un diagnóstico anual de ciberseguridad, con especificaciones desarrolladas con las autoridades públicas, que debe comunicarse directamente a los gestores para su información, con recomendaciones básicas para cubrir los riesgos ".
8. Desarrollar el diseño de seguridad, “Seguridad por diseño”
En su informe, los senadores señalan que "muchos interlocutores recordaron que los fabricantes de software no protegen suficientemente sus productos". Para responsabilizar a los editores, los senadores quieren reforzar la “seguridad por diseño” del software vendido a las VSE y las PYME. Consiste en legislar sobre actualizaciones ampliando la garantía del software de al menos dos años a las actualizaciones de seguridad.
9. Concienciar a los líderes de su responsabilidad personal
Al igual que los empleados, los líderes empresariales deben ser conscientes de la ciberseguridad. En caso de ciberataque, la responsabilidad personal de los directivos puede verse comprometida. "lLa falta de implementación de medidas de seguridad suficientes podría constituir un error que podría dar lugar a la responsabilidad civil de la empresa o de su administrador. ". Un riesgo jurídico que a menudo se pasa por alto, subrayan los senadores.
10. Formar a los empleados y concienciar sobre la ciberseguridad
" Cada empleado tiene la clave de la ciberseguridad de su empresa », señalan los senadores. Para ellos, Depende de la formación profesional cambiar la situación.. Así, se han presentado dos enmiendas al proyecto de ley relativo a la lucha contra el cambio climático para integrar la ciberseguridad en la formación ofrecida por los operadores cualificados (OPCO).
Los autores del informe también quieren crear cursos cortos en ciberseguridad (nivel bac +2) para formar a más ciberoperadores.
