Cybercriminaliteit explodeert. Bijna de helft van de Franse bedrijven was in 2020 het doelwit van een cyberaanval. En 16 %-aanvallen bedreigen het voortbestaan van de kleine bedrijven, het MKB en middelgrote bedrijven die het slachtoffer zijn. Geconfronteerd met deze observatie presenteerde de Senaat 22 voorstellen om de cyberbeveiliging van bedrijven te verbeteren, waaronder de meest bescheiden. We hebben de 10 belangrijkste maatregelen geselecteerd.
De gezondheidscrisis heeft het telewerken veralgemeend, de ontwikkeling van de elektronische handel gestimuleerd en het gebruik van personal computerapparatuur in een professionele context doen toenemen. Al deze factoren hebben het risico op blootstelling van bedrijven aan cyberaanvallen vergroot.
Cybercriminaliteit die zich richt op bedrijven neemt toe
Terwijl grote bedrijven en de meeste middelgrote bedrijven (ETI) maatregelen hebben genomen om zichzelf te beschermen, is de cybercriminaliteit verschoven naar kleine bedrijven, wat heeft geleid tot een toename van het aantal hackactiviteiten in 2020. De cijfers zijn leerzaam:
- 43 %-bedrijven constateerden een cyberveiligheidsincident in 2020,
- 16 %-cyberaanvallen bedreigden de overleving van een bedrijf anno 2020,
- 300 % stijging ransomware-aanvallen tussen 2020 en 2021, volgens de National Information Systems Security Agency (ANSSI),
- 6 biljoen dollar per jaar, Dit is de kosten van cybercriminaliteit wereldwijd in 2021, twee keer zoveel als de $3 biljoen in 2015.
Geconfronteerd met deze beoordeling presenteert de Senaat een reeks voorstellen om het midden- en kleinbedrijf en kleine en middelgrote ondernemingen beter te helpen bij het omgaan met deze welig tierende cybercriminaliteit. Gesteund door senatoren Sébastien Meurant en Rémi Cardon, de informatie rapport van de zakendelegatie van de Senaat, gepresenteerd op 10 juni, wijst op de tekortkomingen van de overheid, in het bijzonder het gebrek aan kennis “van de overgrote meerderheid van de bedrijven” van publieke actoren op het gebied van cyberbeveiliging. Ook wordt er nota genomen van de zwakke bescherming van kleine en middelgrote ondernemingen en kleine ondernemingen in het licht van deze bedreigingen.
Het midden- en kleinbedrijf en het midden- en kleinbedrijf vormen de zwakke schakel
Met de massale toename van het telewerken hebben de IT-afdelingen van grote bedrijven een beleid ingevoerd Geen vertrouwen (nul vertrouwen): Geen enkele gebruiker op het netwerk is volledig betrouwbaar. Verder is de ESG-beoordeling (milieu, samenleving, bestuur) houdt nu rekening met cyberveiligheid, wat zo een essentiële dimensie wordt van ondernemingsbestuur en sociale verantwoordelijkheid (MVO).
Als grote groepen en ETI’s “ defensieve maatregelen genomen waardoor de taak van cybercriminelen wordt bemoeilijktls", dit had tot gevolg dat cybercriminaliteit naar kleinere bedrijven werd verlegd, niet langer worstelen. Kleine en middelgrote ondernemingen en kleine en middelgrote ondernemingen hebben een tekort aan menselijke en technische middelen en aan een cultuur van cyberbeveiliging. De medewerker is vaak de zwakke schakel, of zelfs een Trojaans paard voor cybercriminelen. Kleine en middelgrote ondernemingen/kmo's compenseren dit gebrek aan middelen – wanneer zij het voordeel en de reikwijdte meten – door gebruik te maken van de cloud en outsourcing.
Ze zijn minder beschermd en vormen de toegangspoort tot talloze cyberaanvallen die zich via een domino-effect kunnen verspreiden. “ Deze overdracht van risico's naar leveranciers, onderaannemers en klanten blijft, via feedback, de cyberveiligheid van grote bedrijven verzwakken. » merkt het rapport op. Een fenomeen dat bekend staat als “ aanval op de toeleveringsketen ".
Wat zijn de belangrijkste cyberdreigingen?
De ransomware-aanvallen werd in 2020 de grootste bedreiging met, als middel om binnen te dringen, het binnendringen in het netwerk van het slachtofferbedrijf via externe toegang, met name na de exploitatie van een niet-gecorrigeerd beveiligingsprobleem. Op de tweede en derde plaats komen computerhacks en online accounthacks. mogelijk gemaakt na phishing (phishing) via valse e-mail of door hetzelfde wachtwoord op meerdere sites te hergebruiken.
Kleinere bedrijven denken dat ze veilig zijn voor deze cyberaanvallen. Maar het is een soms fatale illusie: een bedrijf kan sluiten na een cyberaanval. En de indirecte kosten komen soms na een lange latentieperiode aan het licht. Bij een cyberaanval die in drie tot zes maanden wordt voorbereid, ervaart het bedrijf een intense crisis van drie weken en duurt het drie maanden voordat het weer normaal is. De gevolgen kunnen zich echter over een periode van drie jaar manifesteren.
De explosie van het Internet of Things (IoT), kunstmatige intelligentie (AI) en de komst van de kwantumcomputer vereisen dat bedrijven hun cybersecurityniveau aanzienlijk verhogen.
Daartoe doet het rapport een aantal voorstellen. De tien belangrijkste zijn:
1. Promoot het Cybermalveillance.gouv.fr-systeem
Frankrijk kent een nationaal ondersteuningssysteem voor slachtoffers van cyberaanvallen, het platform cybermalveillance.gouv.fr. De missie is begin 2020 opnieuw ontworpen en heeft tot doel slachtoffers te helpen, hen te informeren over bedreigingen en manieren om zichzelf daartegen te beschermen. In 2020 zullen 10.000 bedrijven “ kwam daar hulp zoeken na een aanval. » Om het aantal te versterken en het bewustzijn onder jongeren te vergroten, zouden studenten met voldoende digitale vaardigheden daar hun burgerdienst kunnen uitoefenen.
2. Open een geanonimiseerd venster voor het verzamelen van klachten
De senatoren stellen voor een dergelijk venster te openen om bedrijven aan te moedigen cyberaanvallen te melden zonder hun reputatie te schaden. Een dergelijke maatregel zou ook de publiciteit rond malware ontmoedigen en het verzamelen van betrouwbare statistische gegevens mogelijk maken.
“Er is momenteel geen organisatie wiens missie het zou zijn om cyberincidenten te verzamelen en te anonimiseren” betreuren de senatoren en voegen eraan toe: “ Het ontbreken van een database zou bijdragen aan het bewustzijn van cyberrisico’s. »
3. Tot € 5.000 belastingvermindering voor uitrusting en training
De Senaat beveelt de invoering aan van een belastingkrediet voor kleine en middelgrote ondernemingen, dat tot 50 % van hun apparatuurkosten (software of cloudabonnement) en training in cyberbeveiliging zou dekken, en dit tot 5.000 euro.
4. Zorg ervoor dat verzekeringsvergoedingen voor cyberverliezen worden vergoed
Verzekeringsmaatschappijen moeten cyberverliezen dekken. Daartoe stellen de senatoren voor om:
- een uitputtende opsomming van de verschillende rampen mogelijk,
- reserveer verzekeringsvergoedingen voor bedrijven die er gebruik van hebben gemaakt software- en cybersecurity-experts gecertificeerd door het ‘ExpertCyber’-label ",
- een cyberratingbureau oprichten Europees, met gebruikmaking van de normen van ANSSI of het Europese equivalent daarvan, het Europees Agentschap voor Netwerk- en Informatiebeveiliging (ENISA).
Anderszins, senatoren willen het risico op ransomware-aanvallen niet verzekerbaar maken (ransomware). Als de verzekeraar losgeld zou betalen aan cybercriminelen, zou dit geen garantie zijn dat het bedrijf zijn gegevens zou kunnen herstellen of zijn activiteiten zou kunnen hervatten. Het verzekeren van ransomware zou vergelding aanmoedigen en cybercriminaliteit en zelfs terrorisme financieren. “ Losgeld trekt criminelen aan. We zien een daling in het aantal aanvallen op openbare ziekenhuizen, omdat ze het losgeld niet kunnen betalen. » rechtvaardigt senator Sébastien Meurant.
5. Ontwikkel het aanbod van een reeks cyberbeveiligingsoplossingen
De senatoren willen dat kleine en middelgrote ondernemingen en kleine en middelgrote ondernemingen toegang krijgen tot een eenvoudig te gebruiken ‘pakket’ cyberbeveiligingsoplossingen.
6. Faciliteer de bundeling van IT-servicebeveiligingsmanagers (CISO's)
Het rapport roept op tot de vorming van groepen werkgevers met de status van vertrouwde derde partij om CISO's te bundelen. ZMO's en MKB-bedrijven die niet over een CISO beschikken, zouden dus kunnen profiteren van hun expertise.
7. Laat jaarlijks een cybersecurity audit uitvoeren door accountants en auditors
Chartered accountants en auditors (CAC) worden door senatoren uitgenodigd om “ een jaarlijkse cyberbeveiligingsdiagnose, met specificaties die samen met de overheid zijn ontwikkeld en die ter informatie rechtstreeks aan managers moeten worden gecommuniceerd, met basisaanbevelingen om risico's af te dekken ".
8. Beveiligingsontwerp ontwikkelen, “Security by design”
In hun rapport merken de senatoren op dat “veel gesprekspartners eraan herinnerden dat softwarefabrikanten hun producten niet voldoende beveiligen”. Om uitgevers verantwoordelijk te maken, willen de senatoren de ‘Security by design’ van software die wordt verkocht aan het midden- en kleinbedrijf en het midden- en kleinbedrijf versterken. Dit bestaat uit het opstellen van wetgeving over updates door de softwaregarantie van minimaal twee jaar uit te breiden naar beveiligingsupdates.
9. Maak leiders bewust van hun persoonlijke verantwoordelijkheid
Net als werknemers moeten bedrijfsleiders zich bewust zijn van cyberbeveiliging. Bij een cyberaanval kan de persoonlijke aansprakelijkheid van managers in het geding komen. " Lhet niet implementeren van voldoende veiligheidsmaatregelen kan een fout vormen die aanleiding kan geven tot burgerlijke aansprakelijkheid van de onderneming of haar manager ". Een juridisch risico dat vaak over het hoofd wordt gezien, benadrukken de senatoren.
10. Train medewerkers en vergroot het bewustzijn over cyberbeveiliging
" Elke medewerker beschikt over de sleutel tot de cyberbeveiliging van zijn bedrijf », let op de senatoren. Voor hen, het is aan professionele training om de situatie te veranderen. Zo zijn er twee amendementen op het wetsontwerp met betrekking tot de strijd tegen de klimaatverandering ingediend om cyberbeveiliging te integreren in de opleiding die wordt aangeboden door skill operators (OPCO).
De auteurs van het rapport willen ook korte cursussen cybersecurity (bac +2-niveau) creëren om meer cyberoperators op te leiden.
