Timothée Brogniart (Sectigo) : « Les conséquences financières d’une panne cyber ne se limitent pas à la perte de chiffre d’affaires »

Timothée Brogniart
© Sectigo

OK, les antivirus, ça coûte cher. OK, recruter un RSSI, aussi. Mais si l’on vous disait qu’une panne cyber de quelques heures seulement peut coûter plus de 100 millions d’euros ?

Négliger la cybersécurité, au-delà des attaques, peut entraîner des pertes d’activité conséquentes. Et celles-ci se chiffrent à plusieurs milliers – voire millions – d’euros, en fonction de la durée des pannes. Timothée Brogniart, directeur général EMEA du service d’authentification et de certification Sectigo, nous explique pourquoi il est important d’envisager la totalité des implications d’une mauvaise cyber protection.

Quel est le rôle de Sectigo ?

Timothée Brogniart : À l’origine, l’activité de Sectigo, c’est de certifier les sites web. Vous avez certainement déjà vu ce petit cadenas, dans la barre d’URL de votre navigateur. Cela signifie que les informations d’un site web sont bien chiffrées, et c’est notre travail. Aujourd’hui, l’entreprise a étendu son champ d’action, et nous certifions toutes les identités numériques – qu’il s’agisse d’humains ou de machines. Avec la pandémie et l’augmentation du télétravail, notre activité est en pleine croissance : les organisations doivent pouvoir s’assurer que ce sont bien leurs salariés qui se connectent à tel ou tel réseau. L’intérêt de certifier les identités numériques, c’est de garantir qu’une communication entre 2 entités est sécurisée. Et à l’heure où les techniques de ransomwares se perfectionnent, c’est primordial. Enfin, il est important de signaler que les certificats ont une durée de vie limitée, et qu’il est important de les mettre à jour régulièrement.

Quelles sont les organisations concernées par les besoins de certification ?

T. B. : Toutes, bien sûr ! Cela peut représenter un lourd investissement pour une TPE ou une PME, mais elles sont tout aussi sujettes aux attaques cyber que les autres.

Que risque une entreprise qui ne s’occuperait pas – ou mal – du sujet, au-delà d’une brèche au niveau de ses certificats d’authentification ?

T. B. : Il y a plusieurs risques. L’immédiat, c’est de se couper de son public, de son audience, de ses clients. Un navigateur préviendra immédiatement un utilisateur si le site qu’il souhaite atteindre n’est pas sécurisé. C’est bien sûr d’autant plus gênant si une partie de votre business se fait en ligne : jamais un internaute ne prendra le risque d’entrer ses coordonnées bancaires si un message d’alerte indique que le site est à risque – à raison, d’ailleurs. Mais la perte de chiffre d’affaires n’est pas la seule conséquence financière à envisager. En 2018 au Royaume-Uni, O2, l’équivalent local d’Orange en France, avait laissé expirer le certificat d’un routeur au niveau d’une antenne. Résultat : panne de réseau pendant 24 heures. Cela a pénalisé les utilisateurs qui n’avaient plus de 3G ni de 4G sur leur téléphone, ainsi que tous les fournisseurs qui passaient par O2 pour diffuser leurs programmes. Au total, entre la réparation, le coût de la panne, ainsi que les dédommagements versés aux partenaires, l’addition s’est chiffrée à plus de 100 millions d’euros. Les dégâts sont réels, ils entraînent des pertes de revenus indécentes. Il n’est pas possible de faire l’impasse.

Certes, la note est salée… Mais les conséquences s’arrêtent-elles là ?

T. B. : Non, elles ont plutôt tendance à s’enchaîner en cascade ! Les assureurs considèrent les incidents cyber, surtout quand ils sont si coûteux, comme des facteurs de risque à part entière. Ils adaptent leurs prix en fonction, voire peuvent choisir de ne plus assurer une entreprise à la suite d’un problème. Surtout si celui-ci est rendu public !

Certaines (grandes) entreprises seront soumises au Cyberscore dès 2023. Pensez-vous que toutes les organisations devront, à terme, afficher une notation (auprès de leurs clients, de leurs partenaires, ou de leurs assureurs) ?

T. B. : Le Cyberscore est une bonne initiative. Il permet d’instaurer une forme de confiance, et il peut devenir un atout business. Notre solution est certifiée ISO 27 001 et SOC 2 : afficher ces garanties permet à nos clients de gagner des appels d’offres, il serait donc logique qu’une certification pensée par l’État ait le même effet. Il faut rester vigilant, car le sujet sera certainement sous-traité à une entreprise privée, mais je pense que le cadre légal doit venir de l’État. La seule chose que je trouve dommage, c’est qu’il n’y ait pas d’initiative européenne, et donc pas d’uniformisation. Enfin, pour que de tels systèmes de notation fonctionnent, ils doivent s’adapter au secteur d’activité ou à la taille de la société : pour obtenir un score « A » par exemple, une banque devrait faire plus d’efforts qu’un vendeur de fromages en ligne.

Biographie

Timothée Brogniart est directeur général EMEA de Sectigo, spécialiste Human & Machine identities. Passionné de cybersécurité, il baigne dans le domaine depuis plus de 13 ans.

NEWSLETTER

Recevez la newsletter Major tous les mardis, gratuitement, dans votre boîte e-mail.

Veille Médias

4 921 articles au total

à la Newsletter
Partager
à la newsletter
Partager

Inscrivez-vous gratuitement à la newsletter de Major !

Major ne vendra pas votre e-mail et aucune pub ne vous sera envoyée. Vous pouvez vous désabonner à tout moment.