"Il est interdit d'être naïf !" Tel est le message. Si la mondialisation et les progrès liés au numérique offrent de nouvelles opportunités, elles drainent aussi leur lot de risques qu'il faut dorénavant prendre en considération. Menaces, espionnage, sabotage, déstabilisation : les modes d'actions sont variés et peuvent considérablement mettre à mal les entreprises. "Il suffit d'être un peu bousculé pour que cela cause de vrais dégâts", prévient Thierry Queffelec, Secrétaire général pour les affaires régionales à la Préfecture de région.

Si les grandes entreprises sont plutôt bien protégées, "80 % des victimes sont des PME", assure Christophe Delcamp, directeur adjoint de la Fédération française des assureurs. Et en région Sud Provence-Alpes Côte d'Azur, une entreprise serait chaque jour impactée par le piratage, mettant en danger ses emplois, ses capacités de production ou encore son image.

Pourtant, ces dangers sont le plus souvent évitables. "80% des faits sont dus à une erreur humaine", expose Christophe Delcamp. Le fameux clic idiot, le téléchargement d'un programme malveillant ... "Le mail est très souvent le vecteur ", avertit Claire de Guisa, déléguée information stratégique et sécurité économique à la DIRECCTE PACA. "Les pirates se servent de la méconnaissance de leur interlocuteur. C'est pourquoi il faut éduquer, prévenir et faire des retours d'expérience".

Un contexte juridique qui responsabilise de plus en plus les entreprises

Responsabiliser pour protéger les entreprises françaises et par là-même la souveraineté nationale. Des enjeux de plus en plus pris en compte par les pouvoirs publics en France et au niveau européen, en témoigne le développement de structures telles que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en 2009 ou le Service de l'information stratégique et sécurité économiques (SISSE), sept ans plus tard. "Les exigences ont également été renforcées dans le droit français et européen", explique Claire de Guisa, citant "l'obligation pour les entreprises de plus de 50 salariés de faire un recueil des alertes et d'assurer la protection des lanceurs d'alerte". Un recueil qui doit même être professionnalisé dans les entreprises de plus de 500 salariés. Et Christophe Delcamp de rappeler qu'en en cas de protection insuffisante, "il existe des sanctions économiques pouvant aller jusqu'à 20 M€. Il existe aussi des risques de sanction pénale : 5 ans de prison et 300 000 euros d'amende". Car un manque de vigilance en matière de données peut affecter non seulement l'entreprise mais aussi l'ensemble de ses salariés, partenaires et clients.

L'heure est donc à la sensibilisation. Ainsi, l'ANSSI a créé une formation gratuite en ligne de même que des guides de bonnes pratiques. Parmi elles : choisir un mot de passe suffisamment complexe, mettre à jour ses logiciels ou encore protéger ses données lors d'un déplacement. L'Agence a également mis à jour sa méthode EBIOS (Expression des besoins et identification des objectifs de sécurité) qui repose sur "le partage d'une conscience commune du risque" en entreprise comme l'explique Moïse Moyal, délégué régional sécurité numérique de l'ANSSI. Il s'agit en fait de se mettre en conformité avec les normes existantes avant d'analyser les risques et d'imaginer les moyens de s'en prémunir.

Une offre d'assurance encore en construction

Et qui dit risque dit aussi assurance. Alors que certains cyber-risques sont couverts par des assurances dommage classiques - c'est le cas d'un incendie provoqué par le piratage d'une machine -, d'autres nécessitent une prise en compte particulière - perte d'une base de données ou cyber-extorsion par exemple. Une "frontière pas toujours très claire", constate Christophe Delcamp.  "Il y a encore du travail pour améliorer les clauses et les conditions des contrats". D'ici là, il faudra convaincre les PME qui sont encore très peu nombreuses à souscrire à une telle assurance (moins de 3 %)

Mais pour éviter des dommages parfois irréversibles, "le rôle de l'assureur est également d'inciter à la prévention"? Et ce au travers de cotisations inversement proportionnelles au niveau de prévention mis en place.

Quand les entreprises prennent les choses en main

La prévention, une affaire qui "ne concerne pas seulement les responsables sécurité", affirme Thierry Queffelec. "Les risques métiers vont au-delà de la notion d'informatique", ajoute le responsable sécurité de L'Occitane, "ce sont les dirigeants d'entreprise qui en ont connaissance". D'où la nécessité de penser la sécurité à tous les échelons de l'entreprise, ce qu'a fait Kevin Heydon au sein de son groupe. "Dans un groupe comme L'Occitane, il est impossible d'imposer des règles. Nous avons choisi d'aborder le sujet par le prisme de la vie privée. Nos collaborateurs écoutaient les conseils à la fois pour le travail et pour chez eux ce qui a créé un effet de buzz". Pour lui, il convient de se poser deux questions majeures. "D'abord, quelle est notre source de valeur ? Qu'est-ce qui fait que notre entreprise gagne des marchés ? Est-ce sa base client ? Son innovation ? Sa gestion du marché ? Un savoir-faire industriel ? Puis quels sont les points névralgiques, ces informations non confidentielles mais indispensables pour travailler ?"

Autre taille d'entreprise, autre méthode pour Julien Chaudeurge, PDG de Baby-Zen, fabriquant de poussettes. Déjà sensible à la question de la contrefaçon - "nous avons la palme d'or de la poussette la plus copiée", plaisante-t-il, sécuriser les données semblait pour lui être "le dernier pan. J'ai fait prendre conscience à mes collaborateurs que nous sommes tous exposés au risque, sans pour autant leur faire trop peur". Une prise de conscience qui a abouti à la mise en place d'outils simples : "j'ai essayé de faire changer les mots de passe de tous mes collaborateurs - la plupart avait choisi quelque chose comme 123456 -, j'ai également demandé à tout le monde de se connecter sur la 4G plutôt que sur le WiFi".

Coopérer pour se protéger plus efficacement

La sécurité des données, un enjeu d'autant plus vital pour l'AP-HM. Pour son responsable de la sécurité des systèmes d'information, Philippe Tourron, l'ampleur de la tâche est telle qu'elle nécessite la coopération d'un grand nombre d'acteurs. Ainsi, "l'AP-HM pilote le projet européen SafeCare". Un projet chargé d'innover en matière de détection des risques et de réaction face à ceux-ci et qui "regroupe des compétences dans tous les domaines, établissements de santé et acteurs de l'intervention (police, pompiers, cyber-sécurité)". Une polyvalence couplée à un partage de cultures puisque le projet s'est doté d'un consortium de personnes issues de 10 pays européens. Car Philippe Tourron en est convaincu. "La coopération est la seule voie de défense".