Ciberseguridad: las 10 soluciones del Senado para proteger a las empresas

El cibercrimen está explotando. En 2020, casi la mitad de las empresas francesas fueron objeto de un ciberataque. Y el 16% de estos ataques ponen en riesgo la propia supervivencia de las pymes, pymes y medianas empresas víctimas. Ante esta observación, el Senado presentó 22 propuestas para mejorar la ciberseguridad de las empresas, incluidas las más modestas. Hemos seleccionado las 10 medidas clave.

La crisis sanitaria ha generalizado el teletrabajo, favorecido el desarrollo del comercio electrónico y aumentado el uso de los ordenadores personales en el ámbito profesional. Todos estos factores han aumentado el riesgo de que las empresas estén expuestas a ciberataques.

El cibercrimen contra las empresas se está acelerando

Si bien las grandes corporaciones y la mayoría de las medianas empresas (ETI) han tomado medidas para protegerse, el ciberdelito se ha trasladado a las pequeñas empresas, lo que ha provocado un aumento de la piratería en 2020. Las cifras son alentadoras:

• El 43% de las empresas ha experimentado algún incidente de ciberseguridad en 2020,

• El 16% de los ciberataques amenazaron la supervivencia de una empresa en 2020,

• 300% aumento de ataques de ransomware entre 2020 y 2021, según la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI),

• 6 billones de dólares al añoeste es el costo del cibercrimen a nivel mundial en 2021, el doble de los 3 billones de dólares de 2015.

Ante esta evaluación, el Senado presenta una serie de propuestas para ayudar mejor a las pymes y a las pymes a afrontar este desenfrenado ciberdelito. Apoyado por los senadores Sébastien Meurant y Rémi Cardon, el informe informativo de la delegación empresarial del Senado presentado el 10 de junio pone de relieve las deficiencias de las autoridades públicas, en particular el desconocimiento «de la gran mayoría de las empresas» de los agentes públicos en materia de información. seguridad. También observamos la débil protección de las pymes y microempresas frente a estas amenazas.

Las microempresas y las pymes representan el eslabón débil

Con el aumento masivo del teletrabajo, los departamentos de TI de las grandes empresas han implementado una política de Confianza cero (confianza cero): Ningún usuario de la red es completamente confiable. Además, el Notación ESG (medio ambiente, sociedad, gobernanza) tiene ahora en cuenta la ciberseguridad, que se convierte así en una dimensión esencial de la gobernanza empresarial y de la responsabilidad social (RSC).

Si grupos grandes y ETI» tomó medidas defensivas complicando la tarea de los ciberdelincuentesls », Esto ha tenido el efecto de desviar el cibercrimen hacia las empresas más pequeñas.ya no está en dificultades. Las microempresas y pymes carecen de recursos humanos y técnicos, así como de una cultura de ciberseguridad. El empleado suele representar el eslabón débil o incluso un caballo de Troya para los ciberdelincuentes. Las microempresas y las pymes compensan esta falta de recursos –a la hora de medir los beneficios y el alcance– utilizando la nube y la subcontratación.

Menos protegidos, se convierten en la puerta de entrada a numerosos ciberataques que pueden propagarse mediante un efecto dominó. “ Esta transferencia de riesgo a proveedores, subcontratistas y clientes sigue debilitando la ciberseguridad de las grandes empresas a través de la retroalimentación. » señala el informe. Un fenómeno conocido como “ ataque a la cadena de suministro ».

¿Cuáles son las principales ciberamenazas?

EL ataques de ransomware se ha convertido en la principal amenaza en 2020 con la penetración, como medio de intrusión, en la red de la empresa víctima a través de su acceso externo, especialmente tras la explotación de una vulnerabilidad de seguridad sin parchear. En segundo y tercer lugar encontramos los ciberataques y ataques de piratas informáticos a cuentas online. hecho posible después del phishing (phishing) a través de correos electrónicos falsos o reutilizando la misma contraseña en varios sitios.

Las empresas más pequeñas creen que están a salvo de estos ciberataques. Pero se trata de una ilusión a veces fatal: una empresa puede cerrar tras un ciberataque. Y los costos indirectos a veces se revelan después de un largo período de retraso. Para un ciberataque preparado en tres a seis meses, la empresa atraviesa una intensa crisis de tres semanas y tarda tres meses en volver a la normalidad. Sin embargo, las repercusiones pueden manifestarse en un plazo de tres años.

La explosión del Internet de las cosas (IoT), la inteligencia artificial (IA) y la llegada de las computadoras cuánticas exigen que las empresas aumenten significativamente su nivel de ciberseguridad.

Para ello, el informe recomienda una serie de propuestas. Los diez primeros son:

1. Promocionar el sistema Cybermalveillance.gouv.fr

Francia dispone de un sistema nacional de apoyo a las víctimas de ciberataques, la plataforma cybermalveillance.gouv.fr. Rediseñado a principios de 2020, su misión es ayudar a las víctimas, informarles sobre las amenazas y las formas de protegerse de ellas. En 2020, 10.000 empresas” Llegó allí en busca de ayuda tras un ataque. » Para empoderarse y sensibilizar a los jóvenes, los estudiantes con habilidades digitales adecuadas podrían realizar allí su función pública.

2. Abra una ventana de recopilación de quejas anónimas.

Los senadores proponen abrir esa ventana para animar a las empresas a denunciar los ciberataques sin dañar su reputación. Una medida de este tipo también desalentaría la publicidad sobre el malware y permitiría la recopilación de datos estadísticos fiables.

“Actualmente no existe ninguna organización cuya misión sea recopilar y anonimizar los ciberincidentes” deploramos a los senadores y agregamos: “ Esta ausencia de una base de datos contribuiría a la concienciación sobre los riesgos cibernéticos. »

3. Hasta 5.000 euros de crédito fiscal para equipamiento y formación

El Senado recomienda establecer un crédito fiscal para microempresas y pymes que cubriría hasta el 50% de sus gastos en equipamiento (software o suscripción a la nube) y formación en ciberseguridad, hasta 5.000 euros.

4. Permitir el reembolso del seguro por pérdidas informáticas.

Las compañías de seguros deben cubrir las pérdidas cibernéticas. Para ello los senadores proponen:

• enumerar exhaustivamente los diversos desastres posible,
• reservar el reembolso del seguro para las empresas que se hayan beneficiado del mismo Expertos en software y seguridad informática certificados por la marca “ExpertCyber”. »,
• crear una agencia de calificación cibernética Europea, utilizando los estándares ANSSI o su equivalente europeo, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA).

Además, Los senadores no quieren que el riesgo de ataques de ransomware sea asegurable (ransomware). Si la aseguradora pagara un rescate a los ciberdelincuentes, esto no garantizaría que la empresa pudiera recuperar sus datos o reanudar su negocio. Proteger el ransomware fomentaría las represalias, la financiación del cibercrimen e incluso el terrorismo. “ Los rescates atraen a los delincuentes. Estamos viendo una disminución de los ataques a los hospitales públicos, porque no pueden permitirse pagar rescates. » justifica el senador Sébastien Meurant.

5. Desarrollar la oferta de un conjunto de soluciones de ciberseguridad

Los senadores quieren que las PYMES y las PYMES tengan acceso a un “paquete” de soluciones de ciberseguridad fáciles de usar.

6. Facilitar el intercambio entre los responsables de seguridad de servicios de TI (CISO)

El informe pide la formación de grupos de empleadores con estatus de terceros confiables para agrupar a los CISO. Por lo tanto, las VSE y las PYME que no tienen un CISO podrían beneficiarse de su experiencia.

7. Contar con una auditoría anual de ciberseguridad realizada por contadores y auditores.

Los contadores públicos y auditores (CAC) son invitados por los senadores a realizar » un diagnóstico anual de ciberseguridad, con especificaciones desarrolladas con las autoridades públicas, que debe comunicarse directamente a los gestores para su información, con recomendaciones básicas para cubrir los riesgos ».

8. Desarrollar el diseño de seguridad, “Seguridad por diseño”

En su informe, los senadores señalan que «muchos interlocutores recordaron que los proveedores de software no protegen suficientemente sus productos». Para responsabilizar a los editores, los senadores quieren reforzar la «seguridad por diseño» del software vendido a las VSE y las PYME. Se trata de legislar sobre actualizaciones ampliando al menos dos años la garantía del software a las actualizaciones de seguridad.

9. Concienciar a los directivos de su responsabilidad personal.

Al igual que los empleados, los líderes empresariales deben ser conscientes de la ciberseguridad. En caso de ciberataque, la responsabilidad personal de los directivos podría verse implicada. «ELLa falta de implementación de medidas de seguridad suficientes podría constituir un error que pueda dar lugar a responsabilidad civil de la empresa o de su director. «. Un riesgo legal que a menudo se pasa por alto, subrayan los senadores.

10. Formar a los empleados y concienciar sobre la ciberseguridad

« Cada empleado tiene la clave de la ciberseguridad de su empresa », señalan los senadores. Para ellos, Depende de la formación profesional cambiar la situación.. Por ello, se presentaron dos enmiendas al proyecto de ley relativo a la lucha contra el cambio climático para integrar la ciberseguridad en la formación ofrecida por los operadores de habilidades (OPCO).

Los autores del informe también quieren crear cursos cortos de ciberseguridad (nivel bac+2) para formar a más ciberoperadores.