Cybercriminaliteit explodeert. Bijna de helft van de Franse bedrijven was in 2020 het doelwit van een cyberaanval. En 16 % van deze aanvallen bedreigen het voortbestaan van de VSE's, KMO's en ETI's die er het slachtoffer van worden. In het licht hiervan heeft de Senaat 22 voorstellen gedaan om de cyberveiligheid van bedrijven te verbeteren, ook van de kleinste bedrijven. We hebben de 10 belangrijkste maatregelen geselecteerd.
De gezondheidscrisis heeft geleid tot wijdverspreid telewerken, heeft de ontwikkeling van e-commerce aangemoedigd en heeft het gebruik van persoonlijke computerapparatuur in een professionele context doen toenemen. Al deze factoren hebben het risico vergroot dat bedrijven worden blootgesteld aan cyberaanvallen.
Cybercriminaliteit tegen bedrijven neemt toe
Terwijl grote bedrijven en de meeste middelgrote ondernemingen (kmo's) stappen hebben ondernomen om zichzelf te beschermen, heeft cybercriminaliteit zijn aandacht gericht op kleine bedrijven, met als gevolg dat het aantal hackaanvallen in 2020 naar verwachting zal verveelvoudigen. De cijfers zijn stichtelijk:
- 43 % van de bedrijven heeft te maken gehad met een cyberbeveiligingsincident in 2020,
- 16 % cyberaanvallen hebben het voortbestaan bedreigd van een bedrijf in 2020,
- 300 % stijging ransomware-aanvallen tussen 2020 en 2021, volgens het Agence nationale de la sécurité des systèmes d'information (ANSSI),
- 6 biljoen dollar per jaaris de kosten van cybercriminaliteit wereldwijd in 2021, twee keer zoveel als de $3 biljoen in 2015.
In het licht van deze situatie komt de Senaat met een reeks voorstellen om KMO's en VSE's te helpen effectiever om te gaan met deze welig tierende cybercriminaliteit. Onder leiding van senatoren Sébastien Meurant en Rémi Cardon, de informatieverslag Het verslag van de Senaat Delegatie voor het Bedrijfsleven, gepresenteerd op 10 juni, benadrukt de tekortkomingen van de overheid, in het bijzonder het gebrek aan kennis "bij de overgrote meerderheid van de bedrijven" van de publieke spelers die betrokken zijn bij cyberbeveiliging. Er wordt ook gewezen op de gebrekkige bescherming van kmo's en zeer kleine bedrijven tegen deze bedreigingen.
Het midden- en kleinbedrijf en het midden- en kleinbedrijf vormen de zwakke schakel
Met de verspreiding van telewerken hebben de IT-afdelingen van grote bedrijven een beleid voor telewerken ingevoerd. Geen vertrouwen (zero trust): geen enkele gebruiker op het netwerk is volledig betrouwbaar. Bovendien is de ESG-beoordeling (milieu, maatschappij, bestuur) houdt nu rekening met cyberbeveiliging en maakt er een essentiële dimensie van corporate governance en maatschappelijk verantwoord ondernemen (MVO) van.
Als grote groepen en ETI's " defensieve maatregelen hebben genomen de taak van cybercriminelen bemoeilijkenls", dit cybercriminaliteit heeft afgeleid naar kleinere bedrijvenhebben het moeilijk. Het ontbreekt kleine en middelgrote ondernemingen en KMO's aan menselijke en technische middelen en aan een cultuur van cyberbeveiliging. Werknemers zijn vaak de zwakste schakel, of zelfs het meest kwetsbaar. Trojaans paard voor cybercriminelen. VSE's/MKB's compenseren dit gebrek aan middelen - wanneer ze de voordelen en de reikwijdte ervan inzien - door gebruik te maken van de cloud en outsourcing.
Als ze minder goed beschermd zijn, worden ze de poort naar talloze cyberaanvallen die zich via een domino-effect kunnen verspreiden. " Deze overdracht van risico naar leveranciers, onderaannemers en klanten blijft de cyberbeveiliging van grote bedrijven verzwakken door feedback. "merkt het rapport op. Een fenomeen dat bekend staat als aanval op de toeleveringsketen ".
Wat zijn de belangrijkste cyberbedreigingen?
De ransomware-aanvallen werd de belangrijkste dreiging in 2020, waarbij het middel om binnen te dringen penetratie van het netwerk van het slachtofferbedrijf was via de externe toegang, met name na de exploitatie van een niet-gecorrigeerd beveiligingslek. Op de tweede en derde plaats komen computer hacking en online account hacking. mogelijk gemaakt door een phishing (phishing) via valse e-mail of door hetzelfde wachtwoord op verschillende sites te hergebruiken.
De kleinste bedrijven denken dat ze veilig zijn voor deze cyberaanvallen. Maar dit is een soms fatale illusie: een bedrijf kan sluiten na een cyberaanval. En de indirecte kosten worden soms pas duidelijk na een lange latentietijd. Voor een cyberaanval die binnen drie tot zes maanden wordt voorbereid, ervaart het bedrijf een intense crisis van drie weken en duurt het drie maanden om weer normaal te worden. De gevolgen kunnen echter drie jaar aanhouden.
De explosieve groei van het Internet of Things (IoT), kunstmatige intelligentie (AI) en de komst van de kwantumcomputer betekenen dat bedrijven hun cyberbeveiliging aanzienlijk moeten verbeteren.
Daartoe wordt in het verslag een aantal voorstellen gedaan. De tien belangrijkste zijn :
1. Promoot het Cybermalveillance.gouv.fr-systeem
Frankrijk heeft een nationaal ondersteuningssysteem voor slachtoffers van cyberaanvallen, de cybermalveillance.gouv.fr. De missie, die begin 2020 is vernieuwd, is om slachtoffers te helpen, hen te informeren over bedreigingen en hoe ze zichzelf kunnen beschermen. Tegen 2020 moeten 10.000 bedrijven " hulp kwam zoeken na een aanval. "Om de beroepsbevolking te versterken en het bewustzijn onder jongeren te vergroten, zouden studenten met de juiste digitale vaardigheden hun burgerdienst kunnen uitvoeren.
2. Een anoniem klachtenloket openen
De senatoren stellen voor een dergelijk venster te openen om bedrijven aan te moedigen cyberaanvallen te melden zonder hun reputatie te schaden. Een dergelijke maatregel zou ook de publiciteit rond kwaadaardige software ontmoedigen en het mogelijk maken om betrouwbare statistische gegevens te verzamelen.
"Tot op heden is er geen organisatie die cyberincidenten verzamelt en anonimiseert". betreurde de senatoren en voegde eraan toe: " Dit gebrek aan een database zou het bewustzijn van cyberrisico's helpen vergroten.. "
3. Tot €5.000 belastingkrediet voor apparatuur en training
De Senaat beveelt de invoering aan van een belastingkrediet voor VSE's en KMO's tot 50 % van hun uitgaven voor cyberbeveiligingsapparatuur (software of cloudabonnement) en training, met een maximum van €5.000.
4. Zorg ervoor dat verzekeringsvergoedingen voor cyberverliezen worden vergoed
Verzekeringsmaatschappijen moeten cyberclaims dekken. Daartoe stellen de senatoren voor om :
- een volledige lijst opstellen van de verschillende claims mogelijk,
- reserve verzekeringsvergoedingen voor bedrijven die gebruik hebben gemaakt van software- en cyberbeveiligingsdeskundigen gecertificeerd door het "ExpertCyber"-label ",
- een cyberratingbureau oprichten met behulp van de normen van de ANSSI of het Europese equivalent daarvan, het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA).
Anderszins, senatoren willen het risico van ransomware-aanvallen niet verzekerbaar maken (ransomware). Als de verzekeraar losgeld zou betalen aan de cybercriminelen, zou dit niet garanderen dat het bedrijf zijn gegevens kan herstellen of zijn bedrijf opnieuw kan opstarten. Verzekeren tegen ransomware zou replicatie aanmoedigen, cybercriminaliteit en zelfs terrorisme financieren. " Losgeld trekt criminelen aan. Het aantal aanvallen op openbare ziekenhuizen is afgenomen, omdat ze niet de middelen hebben om losgeld te betalen. "legt senator Sébastien Meurant uit.
5. Een reeks cyberbeveiligingsoplossingen ontwikkelen
De senatoren willen dat VSE's en KMO's toegang krijgen tot een eenvoudig te gebruiken pakket cyberbeveiligingsoplossingen.
6. De bundeling van IT-servicebeveiligingsmanagers (ISSM's) vergemakkelijken
Het rapport roept op tot de oprichting van groepen werkgevers met de status van vertrouwde derde partij om CISO's te bundelen. Hierdoor zouden kleine en middelgrote ondernemingen en KMO's zonder CISO's kunnen profiteren van hun expertise.
7. Laat accountants en wettelijke auditors een jaarlijkse cyberveiligheidscontrole uitvoeren
De senatoren hebben de registeraccountants en wettelijke auditors (CAC's) opgeroepen om ". een jaarlijkse diagnose van de cyberveiligheid, met specificaties die samen met de overheid worden opgesteld en die rechtstreeks ter informatie aan het management moeten worden doorgegeven, samen met basisaanbevelingen voor het afdekken van risico's ".
8. Ontwerpbeveiliging ontwikkelen
In hun rapport merken de senatoren op dat "veel van de mensen met wie ze spraken erop wezen dat softwarefabrikanten niet genoeg doen om hun producten te beveiligen". Om uitgevers meer verantwoordelijk te maken, willen de senatoren het "security by design" principe versterken voor software die verkocht wordt aan VSE's en MKB's. Dit houdt in dat updates wettelijk worden vastgelegd door de garantie op software van minstens twee jaar uit te breiden met beveiligingsupdates.
9. Managers bewust maken van hun persoonlijke verantwoordelijkheden
Net als werknemers moeten directeuren van bedrijven bewust worden gemaakt van cyberveiligheid. In het geval van een cyberaanval kunnen managers persoonlijk aansprakelijk worden gesteld. " LHet niet nemen van adequate veiligheidsmaatregelen kan een fout vormen die kan leiden tot wettelijke aansprakelijkheid van het bedrijf of de directeur. ". Een juridisch risico dat vaak over het hoofd wordt gezien, aldus de senatoren.
10. Train werknemers en verhoog hun bewustzijn van cyberbeveiliging
“ Elke werknemer heeft de sleutel tot de cyberveiligheid van zijn bedrijf in handen "merken de senatoren op. Naar hun mening, beroepsopleiding kan het spel veranderen. Als gevolg hiervan zijn er twee amendementen ingediend op het wetsvoorstel over de strijd tegen klimaatverandering om cyberbeveiliging op te nemen in de trainingen die worden aangeboden door operators van vaardigheden (OPCO).
De auteurs van het rapport willen ook korte cursussen in cyberveiligheid (bac +2 niveau) creëren om meer cyberoperators op te leiden.
