Après une légère diminution du nombre de ransomware au premier semestre 2022, leur nombre a explosé à partir de l’été 2022 confirmant la tendance de forte croissante des dernières années.

Le contexte géopolitique n’est pas neutre dans cette croissance avec, à titre d’illustration, une augmentation de 300% des cyberattaques russes entre 2020 et 2022 dans les pays de l’OTAN.

Depuis plusieurs années les méthodes d’attaques se normalisent, les groupes cybercriminels se professionnalisent, les attaques deviennent également plus complexes et contournent les méthodes de protection « classiques » des entreprises. Une des principales failles exploitée est le facteur humain.

Le 15 janvier 2023, le GNI (Groupement National des Indépendants de l’Hôtellerie & de la Restauration) a dénoncé une attaque de grande envergure ciblant le site de réservation en ligne Booking.com. Rapidement le géant néerlandais affirme publiquement que la faille ne provient pas de son entreprise, et rejette la faute sur un de ses hébergeurs.

L’enquête effectuée par la NCSC (National Cyber Security Centre, agence publique suisse) conclut que l’attaque serait passée en phase opérationnelle depuis au moins décembre 2022. L’attaque a tout d’abord ciblé la supply-chain via un des fournisseurs de service du site. Ce faisant, les cybercriminels ont récupéré des informations critiques pour mener à bien une nouvelle attaque par phishing visant cette fois les clients de booking.com.

Les clients ont été extorqués sous menace d’annulation de leur réservation, dégradant l’image des hôtels et de booking.com. Les hôtels ont été piratés par le biais de liens de phishing envoyés suite à de fausses réservations. Plusieurs éléments majeurs sont à noter dans cette cyberattaque :

  • Les attaques sont aujourd’hui complexes dans la méthodologie et s’opèrent en plusieurs phases.
  • Les attaques exploitent des défauts de sensibilisation des collaborateurs de l’entreprise cible mais également de l’environnement de celle-ci.
  • Les attaques par la supply-chain sont redoutables, notamment car elles compliquent l’identification de l’étendue d’une cyberattaque.

Cette cyberattaque nous rappelle l’importance d’être particulièrement vigilent sur les éléments clés suivants :

  • Formation des collaborateurs : la formation aux risques et aux enjeux de cybersécurité des dirigeants et des collaborateurs est indispensable pour diminuer l’exposition aux risques. Cet effort doit être continu compte tenu de l’intégration des nouveaux collaborateurs et de l’évolution permanente des menaces. Il est également essentiel d’apprécier la compréhension des enjeux par les collaborateurs à travers des tests comme un « quiz » ou une campagne de phishing interne.
  • Choix des prestataires : l’accroissement des attaques par la supply-chain ces dernières années renforce la valeur intrinsèque des certifications de cybersécurité tels que ISO 27001 ou SOC2. En effet, celles-ci permettent d’apporter plus de confiance en se basant sur des référentiels de place.
  • Préparation d’un plan de crise : booking.com est une société néerlandaise présente dans plus de 60 pays. Malgré les investissements cyber réalisés, cet exemple nous rappelle que le risque « zéro » n’existe jamais. Chaque entreprise se doit d’anticiper ces situations afin de limiter ses incidences si une attaque devait réussir demain.
  • Respect de la réglementation : depuis le 25 mai 2018 toutes les entreprises sont soumises au RGPD, ce qui implique, sur la protection des données personnelles de se conformer aux bonnes pratiques de sécurité, de mettre en œuvre de dispositifs pour tracer des fuites de données et de se préparer à gérer les déclarations et information aux personnes concernées dans des délais courts. Autant d’éléments qu’il est nécessaire d’anticiper. 

« Les clients ont été extorqués sous menace d’annulation de leur réservation, dégradant l’image des hôtels et de booking.com. »

Advolis Orfis vous accompagne…

  • Votre organisation souhaite faire évoluer son système d’information, l’organisation ou la stratégie IT ? Nos experts en gouvernance IT et performance sauront partager leurs retours d’expérience pour vous aider à gérer votre transformation et renforcer l’efficacité et la disponibilité de vos systèmes ;
  • Vous souhaitez diminuer votre exposition au risque cyber ? Nous proposons des diagnostics flash de la sécurité du système d’information, des prestations de conseil afin de renforcer votre niveau de protection, un service de simulation de phishing et des formations sur mesure pour vos collaborateurs ;
  • Nos équipes vous proposent de préparer la gestion de crise, en mettant en œuvre de façon anticipée l’organisation et les processus répondant aux enjeux stratégiques de votre entreprise ;
  • Pour ceux qui souhaitent aller plus loin, nos experts en Risk management & Compliance vous accompagnent également dans l’obtention de certifications de cybersécurité (type SOC2 ou ISO 27001), permettant d’apporter de la confiance à vos partenaires.

Vous souhaitez nous contacter ?

Advolis Orfis met en œuvre un traitement sur vos données personnelles pour répondre à votre demande d’information. Pour en savoir plus sur la gestion de vos données et vos droits, consultez notre Politique de confidentialité

Au cours de l’été 2022, la société Clestra Hauserman, fabricant français de cloisons de bureaux et de salles blanches, a été victime d’une cyberattaque la conduisant à demander son placement en redressement judiciaire. Réalisant un chiffre d’affaires annuel de l’ordre de 150 m€, l’entreprise s’est vu dérober entre 2 et 3 m€. Sa survie est aujourd’hui en jeu et avec elle l’avenir de ses 700 employés. 

Quelques constats

  • La sécurité du système d’information apparaît systématiquement dans le top 5 des risques perçus en France en 2022,
  • L’hyper-digitalisation des processus enclenchée avant la crise Covid-19, et renforcée par celle-ci, rend les organisations de plus en plus vulnérables aux cyberattaques,
  • Deux entreprises sur cinq allouent moins de 5% de leur budget Information & Technologie à la cybersécurité !
  • En 2021, l’Agence Nationale de la Sécurité des Systèmes d’Information a recensé pas moins de 1.082 intrusions : 
    • 52 % des attaques par rançongiciels ont concerné des TPE, PME et ETI,
    • Le coût médian pour une TPE-PME se monte à 50 000 euros, et 500 000 euros pour une ETI.

Les hackers ne s’attaquent pas qu’aux grandes organisations, tout le monde est touché ! Pourtant, une entreprise sur deux ne se dit pas prête à répondre à une attaque de grande ampleur

Les menaces cyber et leurs impacts

Les techniques employées par les hackers sont multiples :

  • hameçonnage,
  • rançongiciel,
  • attaque de la chaine d’approvisionnement, 
  • déni de service, 
  • logiciel espion,
  • ingénierie sociale
  • … 

Des impacts importants et difficilement quantifiable avec certitude :

  • Les coûts visibles : 
    • Opérations :
      Ralentissement/arrêt de la production et/ou des fonctions supports
    • Communication : 
      Notification des clients/partenaires touchés 
      Communication publique
    • Technique 
      Mesures de protection réactives
      Correction/amélioration du système d’information à court terme
    • Juridique :
      Amendes de non-conformité
      Pénalité en lien avec les contrats clients
      Frais d’avocats
    • Analyse :
      Investigation technique externe 
      Jours-hommes interne en support
  • Les coûts cachés : 
    • Opérations :
      Perte de données non récupérables 
      Baisse de marge opérationnelle à plus long terme
    • Finance :
      Augmentation des franchises d’assurance 
      Augmentation de la dette
      Perte de contrats
    • Investissements cyber :
      Mise en place/renforcement du programme de maitrise du risque cyber
      Investissements techniques (proactif)
    • Propriété intellectuelle : Vol/espionnage de données confidentielles (brevets…)
    • Image :
      Atteinte en termes d’image
      Perte de confiance des clients

La mise en place de bonnes pratiques

Comprendre le risque pour en réduire les impacts : 

5 mesures préventives à mettre en œuvre :

  • Renforcement des accès via les authentifications à 2 facteurs, 
  • Supervision de sécurité des évènements, 
  • Sauvegarde régulière hors-ligne des données et applications critiques, 
  • Liste priorisée des services numériques critiques, 
  • Existence d’un dispositif de gestion de crise liée à une cyberattaque.

Organisation et gouvernance : 

  • Placer la gouvernance de la cybersécurité au bon niveau, 
  • Mieux former et sensibiliser les usagers aux questions de cybersécurité, 
  • Allouer davantage de budget et de ressources à la cybersécurité.

Advolis Orfis vous accompagne…

  • Nos experts Technologies et Digital vous assiste dans la revue des risques cyber auxquels votre organisation est exposée et vous proposeront une feuille de route pour mettre à niveau votre environnement IT, 
  • Vous envisagez d’acquérir ou de céder un groupe, nos spécialistes conduisent un audit cyber à côté de nos experts Transaction Services pour anticiper les investissements cyber à venir, 
  • Votre organisation cherche à optimiser ses processus afin d’améliorer sa performance et de rationaliser ses coûts, nos professionnels vous assiste dans l’identification des incontournables de la cybersécurité. 

Vous souhaitez nous contacter ?

Advolis Orfis met en œuvre un traitement sur vos données personnelles pour répondre à votre demande d’information. Pour en savoir plus sur la gestion de vos données et vos droits, consultez notre Politique de confidentialité

La sécurité du système d’information est aujourd’hui au cœur des préoccupations des organisations et apparaît systématiquement dans le Top 5 de la cartographie des risques.

Plus de 65% des entreprises interrogées par le CESIN ont répondu avoir constaté au moins une cyberattaque à leur encontre. Il est donc impératif, dans une démarche de protection du patrimoine informationnel et des données personnelles, d’adapter sa stratégie de sécurité afin de limiter ces menaces (malware, fraude interne, espionnage industriel, impact sur l’image …), de disposer de solutions de détection et de réagir de manière appropriée dans les meilleurs délais. 

Notre proposition d’accompagnement permet de protéger vos fonctions les plus à risque (Métier, Trésorerie, RH, …) et d’apporter des solutions adaptées à vos enjeux en s’appuyant sur des méthodologies et des référentiels de la place (ANSSI, ISO 27001, COBIT, EBIOS, …) :

  • revue et définition de la stratégie de gestion du risque (gouvernance, organisation et principes) ; 
  • accompagnement de la direction générale et du responsable de la sécurité des systèmes d’information ;
  • formation et conduite du changement auprès des utilisateurs ;
  • définition et mise en place de dispositifs de contrôle au niveau IT et métier (architecture, applications, gestion des identités et des accès, séparation des tâches, analyse des flux, …) afin de renforcer la protection des données et transactions sensibles ;
  • audit de sécurité et cartographie du risque cyber ;
  • préparation et certification sécurité (ISO, SOC2, …) ; 
  • assistance à l’anticipation et gestion de crise (PCA / PRA).

Notre particularité repose sur la prise en compte de l’ensemble des enjeux des entreprises (métier, opérationnel, …) et la mise en œuvre d’une approche sur mesure et pragmatique mobilisant des expertises techniques fortes ainsi que l’engagement des associés.

Vous souhaitez nous contacter ?

Advolis Orfis met en œuvre un traitement sur vos données personnelles pour répondre à votre demande d’information. Pour en savoir plus sur la gestion de vos données et vos droits, consultez notre Politique de confidentialité

La digitalisation des entreprises et la recherche de performance conduisent les acteurs sur le marché à traiter des masses de données en croissance exponentielle qu’il est souvent difficile d’exploiter de façon efficace. Comment garantir la mise en qualité de la donnée ? Comment identifier les signaux faibles, les tendances ?

Nos experts en analyse de données vous accompagnent dans vos différentes problématiques en mettant à votre service leur expertise :

  • gouvernance de la donnée ;
  • mise en œuvre de techniques de « data mining » pour rechercher dans de grandes volumétries de données des problématiques de contrôle interne, d’efficacité opérationnelle ou de fraude ;
  • mise en œuvre de solutions opérationnelles (reconnaissance de revenu, BFR, analyse de la performance achats/paie, …) ;
  • élaboration et usage de modèles prédictifs s’appuyant sur des algorithmes adaptés aux enjeux métier (maintenance, fraude, …) ;
  • accompagnement dans vos projets « data analytics ».

Nous développons nos propres solutions logicielles afin d’outiller les analyses et rendre nos interventions plus efficaces (certaines sont disponibles en SAAS ou peuvent être installées « on premise ») en nous appuyant sur les meilleures technologies du marché.

Vous souhaitez nous contacter ?

Advolis Orfis met en œuvre un traitement sur vos données personnelles pour répondre à votre demande d’information. Pour en savoir plus sur la gestion de vos données et vos droits, consultez notre Politique de confidentialité

Notre environnement connaît des ruptures fortes à travers les nouvelles technologies, l’intelligence artificielle, l’internet des objets, le cloud/edge computing, les nouveaux enjeux de sécurité, … Dans ce contexte, et compte tenu de la pression concurrentielle et règlementaire, les organisations doivent adapter leur business model et attendent beaucoup de leur DSI pour accompagner la transformation, contribuer à la performance, gagner en efficacité et en agilité tout en maîtrisant les coûts.

Notre proposition s’appuie sur la maîtrise des enjeux actuels et des attentes des dirigeants pour placer la DSI au cœur de la transformation :

  • audit et renforcement de la Gouvernance Informatique (alignement stratégique, organisation, objectifs, expertise, benchmark des coûts …) ;
  • revue et optimisation des processus de la DSI (gestion du portfolio, gestion des projets et des changements, exploitation et support) ;
  • schéma directeur des systèmes d’information (urbanisme, architecture, mode d’hébergement, …) ;
  • assistance au contracting interne (SLA) et externe (choix, garanties, prix, …) ;
  • conduite du changement.

Nos consultants ont une forte expérience des enjeux et modèles de gouvernance, des technologies et des évolutions de marché et s’appuient sur les principaux référentiels de place (Guide de la Gouvernance, ITIL, COBIT, TOGAF, …).

Vous souhaitez nous contacter?

Advolis Orfis met en œuvre un traitement sur vos données personnelles pour répondre à votre demande d’information. Pour en savoir plus sur la gestion de vos données et vos droits, consultez notre Politique de confidentialité

Les nouvelles technologies sont au cœur des projets de transformation de l’entreprise, de son modèle économique, de son organisation et de son modèle de pilotage. Ces projets de transformation constituent à la fois un risque, au regard de leur complexité et des moyens mobilisés, et une opportunité pour évoluer vers une organisation plus agile.

Que votre projet de transformation réponde à un objectif de compétitivité, de mise en conformité ou d’évolution de votre activité, nous vous aidons à le mettre en œuvre et à le sécuriser.

  • accompagnement des projets de transformation : évaluation et étude d’opportunité de projets de digitalisation, analyse de faisabilité, business case et ROI, benchmark ; 
  • cadrage de projets, aide au choix de solutions et de prestataires, assistance au contracting, assistance à maîtrise d’ouvrage ;
  • conduite du changement, support des acteurs métier, refonte des processus, accompagnement et formation des utilisateurs ;
  • audit et redressement de projets (en phase de mise en œuvre ou post-implémentation), accompagnement des phases clés et assurance qualité.

Transformation de la fonction finance : vers la recherche d’une plus forte valeur ajoutée pour ses clients internes et externes, la transformation digitale de la direction financière est un élément clé de l’évolution de son rôle au sein de l’entreprise :

  • digitalisation des processus, notamment Procure to Pay et Order to Cash, dématérialisation des factures, workflow d’approbation… ;
  • robotisation des tâches administratives et des processus répétitifs grâce aux technologies de RPA (Robotic Process Automation) ;
  • mise en œuvre de progiciels ERP : cadrage du projet et du périmètre fonctionnel, assistance au choix et au déploiement.

Notre proposition de valeur s’appuie sur la maîtrise de l’ensemble des dimensions des projets de transformation : technologies de l’information, organisation, processus et moyens humains.

Vous souhaitez nous contacter?

Advolis Orfis met en œuvre un traitement sur vos données personnelles pour répondre à votre demande d’information. Pour en savoir plus sur la gestion de vos données et vos droits, consultez notre Politique de confidentialité

Nous contacter