La ciberdelincuencia se dispara. Casi la mitad de las empresas francesas fueron blanco de un ciberataque en 2020. Y 16 % de estos ataques amenazan la propia supervivencia de las VSE, pymes y ETI que son víctimas de ellos. Ante esta situación, el Senado ha presentado 22 propuestas para mejorar la ciberseguridad de las empresas, incluidas las más pequeñas. Hemos seleccionado las 10 medidas clave.
La crisis sanitaria ha generalizado el teletrabajo, ha fomentado el desarrollo del comercio electrónico y ha incrementado el uso de equipos informáticos personales en el contexto profesional. Todos estos factores han aumentado el riesgo de que las empresas se vean expuestas a ciberataques.
Se acelera la ciberdelincuencia contra las empresas
Mientras que las grandes empresas y la mayoría de las medianas empresas (PYME) han tomado medidas para protegerse, la ciberdelincuencia ha dirigido su atención a las pequeñas empresas, con el resultado de que el número de ataques informáticos se multiplicará en 2020. Las cifras son edificantes:
- 43 % de las empresas han sufrido un incidente de ciberseguridad en 2020,
- 16 % los ciberataques han amenazado la supervivencia de una empresa en 2020,
- 300 % aumento en ataques de ransomware entre 2020 y 2021, según la Agence nationale de la sécurité des systèmes d'information (ANSSI),
- 6 billones de dólares al añoes el coste de la ciberdelincuencia a nivel mundial en 2021, el doble que los 3 billones de dólares de 2015.
Ante esta situación, el Senado presenta una serie de propuestas para ayudar a las PYME y a las empresas muy pequeñas a hacer frente a esta ciberdelincuencia galopante. Encabezada por los senadores Sébastien Meurant y Rémi Cardon, la documento informativo El informe de la Delegación de Empresas del Senado, presentado el 10 de junio, destaca las carencias de los poderes públicos, en particular el desconocimiento "por parte de la inmensa mayoría de las empresas" de los actores públicos implicados en la ciberseguridad. También señala la escasa protección de las PYME y las empresas muy pequeñas frente a estas amenazas.
Las pequeñas y medianas empresas son el eslabón débil
Con la generalización del teletrabajo, los departamentos informáticos de las grandes empresas han puesto en marcha una política de teletrabajo. Confianza cero (confianza cero): ningún usuario de la red es totalmente digno de confianza. Además, la Calificación ASG (medio ambiente, sociedad, gobernanza) tiene ahora en cuenta la ciberseguridad, convirtiéndola en una dimensión esencial de la gobernanza empresarial y la responsabilidad social de las empresas (RSE).
Si los grandes grupos y las ETI " han tomado medidas defensivas complicando la tarea de los ciberdelincuentesls", esto ha tenido el efecto de desviar la ciberdelincuencia hacia las empresas más pequeñastienen dificultades. Las pequeñas y medianas empresas carecen de recursos humanos y técnicos, así como de una cultura de ciberseguridad. Los empleados son a menudo el eslabón más débil, o incluso el más vulnerable. Caballo de Troya para los ciberdelincuentes. Las PYME compensan esta falta de recursos -cuando se dan cuenta de las ventajas y el alcance- utilizando la nube y la externalización.
Menos protegidos, se convierten en la puerta de entrada de numerosos ciberataques que pueden propagarse por efecto dominó. " Esta transferencia del riesgo a proveedores, subcontratistas y clientes sigue debilitando la ciberseguridad de las grandes empresas a través de la retroalimentación. ", señala el informe. Un fenómeno conocido como ataque a la cadena de suministro ".
¿Cuáles son las principales ciberamenazas?
En ataques de ransomware se convirtió en la principal amenaza en 2020, siendo el medio de intrusión la penetración en la red de la empresa víctima a través de su acceso externo, en particular tras la explotación de un fallo de seguridad no corregido. El segundo y tercer puesto son para el pirateo informático y el pirateo de cuentas en línea. posible gracias a un phishing (suplantación de identidad) por correo electrónico falso o reutilizando la misma contraseña en varios sitios.
Las empresas más pequeñas piensan que están a salvo de estos ciberataques. Pero se trata de una ilusión a veces fatal: una empresa puede cerrar tras un ciberataque. Y los costes indirectos a veces se hacen patentes tras un largo periodo de latencia. Para un ciberataque preparado en tres a seis meses, la empresa experimenta una crisis intensa de tres semanas y tarda tres meses en volver a la normalidad. Sin embargo, las repercusiones pueden durar tres años.
La explosión del Internet de las Cosas (IoT), la inteligencia artificial (IA) y la llegada del ordenador cuántico obligan a las empresas a elevar considerablemente su nivel de ciberseguridad.
Para ello, el informe recomienda una serie de propuestas. Las diez más importantes son :
1. Promocionar el sistema Cybermalveillance.gouv.fr
Francia cuenta con un sistema nacional de apoyo a las víctimas de ciberataques, el cibermalveillance.gouv.fr. Renovada a principios de 2020, su misión es ayudar a las víctimas, informarlas sobre las amenazas y cómo protegerse. De aquí a 2020, 10.000 empresas " acudió en busca de ayuda tras una agresión. "Para reforzar su mano de obra y sensibilizar a los jóvenes, los estudiantes con las competencias digitales adecuadas podrían realizar su servicio cívico.
2. Apertura de un mostrador de denuncias anónimas
Los senadores proponen abrir una ventanilla de este tipo para animar a las empresas a denunciar los ciberataques sin dañar su reputación. Esta medida también desalentaría la publicidad en torno al software malicioso y permitiría recopilar datos estadísticos fiables.
"Hasta la fecha, no existe ninguna organización encargada de recopilar y anonimizar los incidentes cibernéticos". deploraron los senadores, añadiendo: " Esta falta de base de datos ayudaría a concienciar sobre los riesgos cibernéticos.. "
3. Crédito fiscal de hasta 5.000 euros para equipamiento y formación
El Senado recomienda la introducción de un crédito fiscal para las pequeñas y medianas empresas que cubra hasta el 50 % de sus gastos en equipos de ciberseguridad (software o suscripción a la nube) y formación, hasta un máximo de 5.000 euros.
4. Permitir el reembolso del seguro por pérdidas cibernéticas
Las compañías de seguros deben cubrir los siniestros cibernéticos. Para ello, los senadores proponen :
- elaborar una lista exhaustiva de las distintas reclamaciones posible,
- reembolsos de seguros de reserva para empresas que han utilizado expertos en software y ciberseguridad certificados por el sello "ExpertCyber ",
- crear una agencia de calificación cibernética utilizando las normas de la ANSSI o de su equivalente europeo, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA).
Es más, los senadores no quieren que el riesgo de ataques de ransomware sea asegurable (ransomware). Si la aseguradora pagara un rescate a los ciberdelincuentes, esto no garantizaría que la empresa pudiera recuperar sus datos o reanudar su actividad. Asegurar contra el ransomware fomentaría la replicación, financiaría la ciberdelincuencia e incluso el terrorismo. " Los rescates atraen a los delincuentes. Han disminuido los ataques a hospitales públicos, porque no tienen medios para pagar un rescate. ", explica el senador Sébastien Meurant.
5. Desarrollar una gama de soluciones de ciberseguridad
Los senadores quieren que las VSE y las PYME tengan acceso a un paquete de soluciones de ciberseguridad fáciles de usar.
6. Facilitar la puesta en común de los gestores de la seguridad de los servicios informáticos (ISSM)
El informe aboga por la creación de grupos de empresarios con estatus de terceros de confianza que agrupen a los CISO. Esto permitiría a las VSE y a las PYME sin CISO beneficiarse de su experiencia.
7. Encargar a contables y auditores de cuentas una auditoría anual de ciberseguridad.
Los senadores han pedido a los censores jurados de cuentas y auditores legales (CAC) que lleven a cabo ". un diagnóstico anual de ciberseguridad, con un pliego de condiciones elaborado en colaboración con las autoridades públicas, que debe comunicarse directamente a la dirección a título informativo, junto con recomendaciones básicas para cubrir los riesgos ".
8. Desarrollar la seguridad desde el diseño
En su informe, los senadores señalan que "muchas de las personas con las que hablaron señalaron que los fabricantes de software no estaban haciendo lo suficiente para asegurar sus productos". Para que los editores sean más responsables, los senadores quieren reforzar el principio de "seguridad por diseño" para los programas informáticos vendidos a las pequeñas y medianas empresas. Se trata de legislar sobre las actualizaciones ampliando la garantía del software, de al menos dos años, para que incluya las actualizaciones de seguridad.
9. Concienciar a los directivos de sus responsabilidades personales
Al igual que los empleados, los directivos de las empresas deben ser conscientes de la ciberseguridad. En caso de ciberataque, los directivos pueden ser considerados personalmente responsables. " Lla no adopción de medidas de seguridad adecuadas podría constituir una falta que podría dar lugar a responsabilidad civil por parte de la empresa o de su director. ". Un riesgo jurídico que a menudo se pasa por alto, subrayan los senadores.
10. Formar a los empleados y concienciarlos sobre la ciberseguridad
“ Cada empleado tiene la llave de la ciberseguridad de su empresa "señalan los senadores. En su opinión, la formación profesional debe cambiar las reglas del juego. En consecuencia, se han presentado dos enmiendas al proyecto de ley de lucha contra el cambio climático para incluir la ciberseguridad en los cursos de formación ofrecidos por los operadores de competencias (OPCO).
Los autores del informe también quieren crear cursos cortos de ciberseguridad (nivel bac +2) para formar a más ciberoperadores.
