En quoi la cybersécurité représente-t-elle un enjeu majeur pour les franchises en 2023 ?
Ce matin n’est pas comme les autres. Martin, franchisé d’une enseigne de supermarché rentre dans sa boutique et voit que les lumières clignotent de manière incohérente. Ce n’est qu’après avoir vérifié plusieurs éléments qu’il réalise qu’il a été victime d’une cyberattaque. Jamais il n’avait imaginé vivre cela. La sidération des premiers instants laisse la place à la panique. Que faire ? D’autant plus que les premiers clients de la journée arrivent dans 2 heures. Désemparé et sans vraiment avoir le choix, il pose un écriteau sur la porte du magasin : « Fermé ce jour pour raisons techniques ».
Quelques chiffres
D’après l’enquête de la CPME (Confédération des Petites et Moyennes Entreprises) sur la cybersécurité des TPE et PME du 22 janvier 2019, 41 % des entreprises de 0 à 9 salariés et 44 % des entreprises de 9 à 49 salariés ont déjà essuyé une cyberattaque. Les techniques sont souvent les mêmes : hameçonnage, spywares, ransomwares, malwares ou fraudes au président pour subtiliser des données confidentielles ou extorquer des fonds. Les conséquences : mise en danger de la confidentialité des données personnelles des clients comme des salariés ou des prestataires, et également des pertes financières importantes.
Le MEDEF nous apprend, quant à lui, que 20 % des TPE concernées ont subi un préjudice supérieur à 50 000 €. Pour 13 % d’entre elles, celui-ci dépasse même les 100 000 €. Dans les cas les plus graves, certaines entreprises doivent mettre la clé sous la porte. On parle notamment de 71 % de PME-TPE, contraintes de mettre fin à leur activité à la suite d’une cyberattaque.
Enfin, l’édition 2022 de l’Internet Crime Report du FBI publié le 27 mars 2023 nous apprend que la France est le 4e pays (7e en 2020) le plus attaqué dans le monde, hors USA, après le Canada, l’Inde et l’Australie.
Cybersécurité en franchise : risques et enjeux
Le premier problème majeur vient de l’organisation même des franchises qui sont constituées de plusieurs entités, des boutiques, des agences ou bureaux, ce qui impacte la manière dont les informations circulent. Il s’agit en général d’informations de données personnelles, financières, et de paiement ce qui amène à la question de la conformité des données.
Celle-ci est le deuxième problème majeur qui est un corollaire de la cybersécurité. En effet, les genres de données personnelles concernées et évoquées précédemment doivent se conformer aux normes et aux réglementations en matière de protection des données, telles que le Règlement Général sur la Protection des Données (RGPD) en Europe, et s’assurer que toutes les données sont stockées et traitées de manière sécurisée.
Quels risques de cyberattaques dans les réseaux de franchises ?
Comme nous l’avons vu et compte tenu de la spécificité du modèle de franchise, les franchisés et franchiseurs peuvent être particulièrement vulnérables et prédisposés à certains types d’attaques plus que d’autres. Parmi celles-ci :
- Les attaques dites par « hameçonnage » (ou phishing en anglais) : les cybercriminels peuvent envoyer des e-mails de phishing à des franchisés en se faisant passer pour des représentants de la franchise ou des partenaires de confiance.
- Les attaques dites par « rançongiciel » (ou ransomware en anglais) : ici, les cybercriminels peuvent utiliser des logiciels malveillants pour chiffrer l’accès au SI et aux logiciels et données contenues dedans. Une rançon est exigée en échange pour récupérer l’accès. Ce type d’attaque a pour autre conséquence, pour le franchiseur ou les franchisés, de ne plus pouvoir utiliser le système d’information dans sa globalité ce qui signifie une interruption de l’activité et donc des pertes financières.
- Les attaques « par injection SQL » : cette attaque consiste à exploiter des vulnérabilités logicielles pour accéder aux informations, potentiellement importantes concernant des individus ou des entreprises, stockées dans les bases de données du franchiseur ou du franchisé pour les modifier, les détruire ou les voler afin de les revendre ou de les utiliser à son avantage.
- Les attaques dites par « déni de service distribué (DDoS) » : ce type d’attaque a pour but de rendre les services informatiques inutilisables en saturant les capacités du serveur de mise à disposition des applications. En résumé : le serveur est trop sollicité et « saute ». Ces attaques peuvent entraîner, elles aussi, une interruption de l’activité et donc des pertes financières.
- Les attaques dites « de l’homme du milieu » (MITM ou Man In The Middle, en anglais) : ce genre d’attaque est utilisé pour intercepter les communications d’informations entre les franchisés et leurs différents partenaires, dont le franchiseur. Cela peut leur permettre d’accéder aux données personnelles et informations de niveau critique.
Que dit la loi en ce qui concerne la sécurité informatique ?
La loi est très claire à ce sujet : l’article L226-17 du Code pénal précise que toute personne traitant des données personnelles est tenue de les protéger par des mesures adéquates. Cet article est accolé à l’article 34 de la loi informatique et libertés qui prévoit que le responsable du traitement (soit celui qui décide des moyens pour mettre en œuvre le traitement des données et de ses finalités), est tenu de prendre « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Les obligations et responsabilités sont également encadrées par la CNIL quand il y a violation des données personnelles en cas de cyberattaque. Les entreprises concernées doivent informer les personnes concernées dans les 72h à partir du constat de la fuite de données. D’autres textes de loi peuvent venir se rajouter selon la nature de l’activité, notamment pour les réseaux de franchise exerçant dans le domaine de la santé. En outre, d’ici le premier semestre 2023, les victimes de cyberattaques devront déposer plainte sous 72 heures si elles veulent profiter de la couverture de l’assurance intégrée dans l’article 4 de la Loi d’Orientation et de Programmation du Ministère de l’Intérieur (Lopmi) votée en décembre 2022.
Les préconisations à mettre en place en matière de cybersécurité
Pour atténuer les risques évoqués, et en plus des stratégies classiques de cybersécurité, il est également judicieux de s’assurer que tous les partenaires commerciaux et sous-traitants respectent eux aussi les normes de sécurité de l’entreprise.
Quels sont les alliés pour se protéger ? Deux documents spécifiques. Le Plan de Continuité d’Activité (PCA), plan d’action global ; et le Plan de Reprise d’Activité (PRA) qui dépend du premier. Ces deux documents rassemblent et indiquent toutes les mesures que l’organisation doit prendre afin de limiter les conséquences d’incidents ou d’anticiper la mise en place de solutions en cas d’interruption de l’activité. L’objectif du PRA est de récupérer l’accès au système grâce aux différents scenarii et selon des étapes bien précises à respecter de façon séquentielle. L’objectif du PCA, de périmètre plus global, consiste à protéger l’ensemble des services de l’organisation et intervient, en principe, en amont pour prévenir les incidents et en diminuer l’impact et la gravité. Il comprend également un plan de communication interne et externe.
En résumé, sécuriser le patrimoine numérique de son activité, y compris celui des clients et divers prestataires de confiance, est toujours une affaire de stratégie globale et de méthode rigoureuse ; une stratégie à la fois matérielle, logicielle et humaine, pensée sur l’avant, le pendant et l’après d’une cyberattaque en prenant en compte les informations et éléments critiques de son SI et en respectant les règles de sécurité.
Dernier conseil et rappel : penser sécurité et réaliser régulièrement des sauvegardes basées sur 3 copies des données, dont 2 doivent être stockées sur des supports différents et dont 1 conservée en dehors du réseau (stratégie dite 3-2-1).
