Le monde des affaires se digitalisant, la cybersécurité gagne en importance dans l’agenda des dirigeants d’entreprise. Les cyberattaques n’en finissent pas d’alimenter l’actualité économique, influencées aussi par un contexte géopolitique tendu. Mais les réseaux de franchise (surtout les plus jeunes) n’en prennent pas toujours la pleine mesure.
Pourtant, les enseignes sont des cibles de choix pour les hackers, en raison de leur rythme de croissance, de leur organisation décentralisée et de la myopie relative de leurs dirigeants. En témoignent les attaques spectaculaires subies cette année par Boulanger, Cultura, LDLC, Speedy ou encore Truffaut – des majors pourtant structurées et non dépourvues de moyens …
Cet article examine les angles morts posés les cyber-risques pesant sur les réseaux et aborde différents moyens de les adresser– avec l’éclairage de Laurent Breyne, Associé de Franchise Management.
Des enjeux critiques de cybersécurité pour les franchises
La décentralisation des réseaux de franchise et l’interdépendance entre franchiseur et franchisé exposent les enseignes à des risques spécifiques.
Des systèmes d’information décentralisés mais interdépendants
Si la franchise propose un « savoir-faire réussir », celui-ci repose désormais sur l’usage de logiciels communs (réservation, facturation, caisse, CRM …) pour plus d’efficience et d’homogénéité.
Des motifs légitimes qui étendent malheureusement la surface d’attaque potentielle de votre enseigne. Car si votre tête de réseau est vigilante, vos franchisés n’ont ni vos moyens ni votre culture de la sécurité. Une faille préjudiciable à l’ensemble du réseau peut venir de l’exploitant, sauf si en votre qualité de franchiseur, vous avez édicté une charte de comportement et que votre animation réseau en assure le bon respect.
Mais pour Laurent Breyne, cela reste assez théorique. « En phase de lancement, certains franchisés sont tentés d’utiliser des systèmes informatiques plus anciens ou moins coûteux, ce qui alimente leur vulnérabilité. En dépit du principe d’indépendance, nous recommandons aux réseaux d’être fermes sur la dotation informatique de base de leurs franchisés », argumente-t-il.
Du côté des réseaux structurés et organisés, les risques existent aussi. « Lorsque j’officiais chez Décathlon, la densité des équipes informatiques n’empêchait pas nos points de vente de subir des attaques quotidiennes. Il pouvait s’agir aussi bien de tentatives de violation de données que d’attaques plus construites (faux mails, pièces jointes et signatures falsifiées …), opérations montées par des gens aguerris, visant aussi bien une opération importante que de multiplier des petites opérations pour récupérer des montants en apparence minimes, mais qui une fois récurrents et cumulés à grande échelle représentaient beaucoup plus », poursuit-il.
Au-delà des cyber attaques spectaculaires et médiatiques comme les pillages de données et autres ransomwares, d’innombrables petites attaques peuvent saturer un serveur ou bloquer un applicatif-clé pendant une journée. De quoi polluer la vie des franchisés et des équipes et saper leur confiance dans vos systèmes.
Des données sensibles partagées
Normalement le franchiseur dispose d’un accès privilégié aux informations commerciales et financières de ses partenaires. Les systèmes de paiement et les données clients constituent des points d’entrée, mais aussi de vulnérabilité aux conséquences potentiellement dommageables.
A l’image de braqueurs de banques, les cyberattaquants prennent le temps d’étudier leur cible et de trouver un ou plusieurs points faibles avant d’agir. En peu de temps ils en comprennent l’organisation, la manière dont sont échangées les données qui les intéressent (coordonnées bancaires, dossiers clients), et la personne clé à laquelle envoyer l’email qui sera le point de départ d’une attaque – par exemple de phishing.
C’est pourquoi notre expert insiste beaucoup pour sensibiliser les clients du cabinet. « Devant la diversité des risques (dysfonctionnements, perte d’accès et de fonctionnalité, malveillances et autres menaces criminelles), je les pousse à adopter des mots de passe avec plusieurs niveaux de sécurité ou d’authentification, à travailler sur l’intégrité de leur donnée, à avoir une stratégie de disponibilité des données différenciée par profil utilisateur, et à garantir leur traçabilité. C’est seulement quand tout cela est défini qu’un franchiseur peut commencer à élaborer son plan directeur de sécurité » assure l’expert.
Pour découvrir les principes sécuritaires de notre solution Lexika, contactez-nous
Une myopie des dirigeants qui ne reste pas longtemps indolore …
Les entrepreneurs à succès doivent déjà faire l’effort de rentrer dans un nouveau costume, celui du franchiseur, et parfois non sans mal. Et au démarrage, ils n’ont pas de direction des risques, informatique et autre DPO.
« Pris par le recrutement de leurs franchisés et par l’exploitation, l’IT, les risques associés et les cyberattaques ne sont pas encore leur priorité. Il leur faut du temps pour comprendre les menaces pesant sur leur réseau et entreprendre les actions qui sécuriseront leur gestion », explique Laurent.
Il y a aussi des chances que la cybermenace ne devienne tangible qu’une fois l’avoir subie, ou à force de voir des attaques relayées dans la presse, comme c’est le cas depuis le début de l’année. « Souvent, on se dit que ça n’arrive qu’aux autres … Or il suffit d’une fois pour qu’un dommage d’ampleur (vol, cryptage de données, rançon…) compromette l’ensemble de votre réseau, même s’il est solidement établi ! », poursuit notre expert.
L’importance de la pédagogie auprès des jeunes réseaux
En accompagnant de nombreux jeunes franchiseurs, nous constatons qu’ils peuvent percevoir leur système d’information par le bout de la lorgnette, comme le logiciel d’encaissement et le CRM. Mais ils réalisent vite qu’il va y avoir des échanges de données entre eux et leurs franchisés.
Sous un angle juridique, nous les alertons sur différents de niveaux de protection à appliquer. Mais lorsqu’il s’agit de rédiger des clauses, qu’il s’agisse de la protection et de l’hébergement des données personnelles, de la propriété des fichiers, ou de l’administration de leurs outils, ils n’ont aucune idée de comment procéder …
En tant qu’intermédiaire, franchise Management les guide dans la formalisation de ces éléments qui serviront ensuite à la rédaction de leur contrat avec leur avocat.
Les risques de cybersécurité pesant en réalité sur votre réseau
Laurent Breyne en identifie de 4 sortes :
- Pénal : pour une petite ou grande entreprise, jeune ou mature, le risque d’amende est présent, même s’il ne fait pas « mal » de la même manière ;
- Image : l’atteinte à la réputation, par exemple une défaillance dans la gestion des données personnelles génère des réticences chez le consommateur et une perte de confiance. Qui aurait envie que ses données circulent n’importe quand et partout ?
- Civil : si vous ne respectez pas vos engagements contractuels sur la protection des données personnelles au sein de votre réseau, vous vous exposez au versement d’indemnités et de dommages intérêts à vos co-contractants – outre les éventuels dommages et intérêts dus aux tiers ;
- Opérationnel : cela concerne de nombreux aspects de votre concept : appropriation de votre savoir-faire, atteinte à vos droits de propriété intellectuelle, violation de vos stratégies de communication, de vos négociations avec vos fournisseurs …
Pour une vision plus large de la gestion des risques dans un réseau, voir notre conférence-débat
Pour une vision plus large de la gestion des risques dans un réseau, voir notre conférence-débat
Adopter une cyberhygiène solide
Par l’application systématique de pratiques de sécurité, la cyberhygiène forme votre première ligne de défense contre les cybermenaces.
Les bonnes pratiques de base
Elles ne demandent pas un effort trop conséquent et s’articulent facilement à vos pratiques quotidiennes pour vous éviter bien des désagréments. Commencez par demander aux utilisateurs de vos systèmes d’utiliser des mots de passe suffisamment complexes et uniques, voire imposez l’usage d’un gestionnaire de mots de passe.
Ensuite, veillez à ce que vos systèmes et logiciels soient mis à jour fréquemment pour intégrer les vulnérabilités connues. Sachez que les hackers se procurent même sur le darknet certaines vulnérabilités logicielles, certes « zero day » – c’est-à-dire détectées par d’autres cybercriminels avant qu’elles n’aient eu le temps d’être corrigées par l’éditeur.
Enfin, effectuez des sauvegardes de vos données via des tests de restauration périodiques pour garantir leur intégrité. « Si les franchiseurs pensent parfois à mettre à jour leurs systèmes, ils ne sont pas toujours en mesure d’imposer à leurs franchisés d’appliquer ces bonnes pratiques. D’où l’importance de disposer de processus centralisés et de contractualiser les procédures avec le franchisé (notamment via un manuel de sécurité informatique), de former l’animateur réseau à ces risques, et plus en amont, de sensibiliser les adhérents du réseau en formation initiale », explique notre expert.
La formation des franchisés et des employés
Au-delà de la formation initiale, des sessions de formation continue sensibiliseront vos franchisés à des menaces spécifiques, comme le phishing. Un clic malheureux sur un email d’allure anodine dans un point de vente, et vous faites entrer un cheval de Troie dans votre réseau, prêt à effacer, crypter et monnayer vos données sensibles …
En standardisant vos procédures dans un manuel de sécurité, vous renforcez la prévention de certains risques. « Heureusement, les réseaux de franchise ont la culture de la procédure et du manuel. Il n’est donc pas extravagant d’y raccrocher des volets sécurité un peu “musclés” … La cybersécurité est aussi une question humaine, au-delà de la technologie », poursuit Laurent.
Enfin, vous pouvez aussi instaurer des quiz périodiques pour vérifier le niveau de connaissance (et donc de vigilance) de vos franchisés et de leurs équipes sur ces sujets.
Il y a de nombreuses autres bonnes habitudes à adopter lorsqu’on est franchiseur. Découvrez-en davantage à travers nos articles !
Surveillance et détection des menaces
Une surveillance continue est indispensable pour anticiper, détecter et traiter rapidement les cybermenaces.
La nécessité de centraliser votre dispositif de surveillance
Un tel dispositif peut inclure l’ensemble des franchisés, tout en respectant leur indépendance. Le tout est que le contrat le permette, et qu’il ait été rédigé avec suffisamment de prudence.
Avec la data produite, les technologies actuelles peuvent offrir une vision globale des activités suspectes (comme les tentatives d’intrusion), dans des tableaux de bord. En les suivant, vous améliorez votre capacité à être réactif face aux menaces.
La détection des anomalies
L’équipe IT du franchiseur connaît les accès légitimes aux systèmes de l’enseigne et, avec l’expérience, elle est capable de détecter les usages suspects.
Par exemple, les accès distants doivent être étroitement surveillés, et l’utilisation de l’authentification multi-facteurs renforcée pour les points d’accès critiques. En outre, le recours à l’intelligence artificielle et au machine learning permettent de gagner en efficacité et dans la prévision des comportements inhabituels.
La menace insidieuse des petites attaques quotidiennes…
Nous l’avons vu récemment, les vols de données et autres ransomwares sont des attaques particulièrement médiatisées. Cependant, il existe des menaces moins spectaculaires mais plus fréquentes qui constituent une menace sérieuse pour la continuité des opérations.
Pour notre expert, « les jeunes réseaux peuvent être affectés par des interruptions temporaires dues à des cyberattaques mineures. Elles vont bloquer par exemple un applicatif pendant une journée. Cela peut sembler indolore, mais cela sape la confiance des utilisateurs dans le système, pollue leur quotidien, et joue aussi sur la réputation du réseau y compris vis-à-vis des candidats si cela vient à se savoir ».
Le rôle du cyber-renseignement dans la prévention
Le cyber-renseignement offre une vision proactive des menaces et permet de développer des stratégies de défense adaptées.
La veille sur les menaces émergentes
Aucun marché n’échappe à la survenance de menaces potentielles, qu’elles soient d’origine humaine, technologique ou sociologique. Comme ils le font déjà dans le cadre de la veille relative aux éléments de propriété intellectuelle – auprès d’un cabinet spécialisé, les franchiseurs gagneraient aussi à s’abonner à des services de threat intelligence pour rester informés des nouvelles menaces.
1 Processus d’identification et d’analyse des cybermenaces. L’expression « Threat Intelligence » peut désigner les données collectées à propos d’une menace ou le processus de collecte, de traitement et d’analyse de ces données dans le but de mieux comprendre les menaces (Source : https://www.kaspersky.fr/resource-center/definitions/threat-intelligence)
La surveillance du dark web permet aussi de détecter des signaux faibles pouvant constituer, à terme, des menaces directes et concrètes. Par recoupement, des enquêteurs spécialisés peuvent surveiller les acteurs ayant intérêt à vous nuire (des concurrents) et pouvant à un moment fomenter des attaques pour abaisser votre réputation auprès des candidats. Ce n’est pas de la science-fiction !
Le partage d’informations et la coordination
Un partage efficace des informations entre le franchiseur et ses franchisés est également déterminant pour anticiper les attaques. On peut imaginer une rubrique dédiée de l’intranet réseau qui soit dédiée à l’échange de renseignements issus du terrain.
Dans la mesure où les cybercriminels échangent entre eux, les franchiseurs et franchisés doivent adopter la même approche collaborative pour être mieux préparés.
Le renseignement n’exclut pas pour autant la dimension système
Notre expert préconise d’anticiper l’interfaçabilité et la scalabilité des systèmes, pour éviter des coûts élevés ou des problèmes techniques futurs. « Si les dirigeants prennent leurs dispositions dès maintenant, cela leur coûtera moins cher à long terme et leur permettra de mieux gérer les incidents éventuels », conclut-il.
Dernier conseil, ayez plusieurs réseaux et un vrai back-up – si possible pas dans le même bâtiment. En cas de blocage cela facilitera votre remise en route, au regard notamment de votre Plan de Continuité d’Activité (PCA).
Vous avez besoin de faire le point sur vos infrastructures et vos pratiques ? Parlons-en ensemble !
Gestion des incidents et amélioration continue
La gestion des incidents est essentielle pour limiter l’impact des cyberattaques sur votre réseau et permettre une réponse rapide et coordonnée.
Le plan de gestion des incidents
Un plan d’urgence coordonné avec vos franchisés doit être conçu pour réagir immédiatement en cas de crise. La mise en place de processus de communication en cas de crise minimise les dégâts et accélère le déploiement de mesures correctives. « Nous voyons bien que les attaques ayant frappé certaines grandes enseignes depuis le début de l’année (Boulanger, Cultura, LDLC …) ont un retentissement fort en termes d’image. Plus l’enseigne a à perdre sur le plan réputationnel, plus sa communication de crise doit avoir été préparée », rappelle notre expert.
Les audits de sécurité et le renforcement des mesures
En procédant régulièrement à des audits, internes comme externes, vous identifiez des failles potentielles et vous les éliminez – contribuant concrètement à la cybersécurité de votre réseau.
Mais là encore, les réseaux matures sont mieux armés. « Ils sont dotés de directions dédiées comme la DSI, et sont entourés de prestataires experts. Pour les jeunes concepts ce n’est pas le cas, bien que rien ne les dispense dans l’absolu de protéger leurs systèmes et données critiques. Le manque de moyens ne va pas attendrir les hackers, au contraire », déplore notre expert.
Conclusion
Franchiseurs, vous ne pouvez pas vous permettre de négliger votre cybersécurité car elle constitue un enjeu structurant où toute faiblesse peut s’avérer létale …
Vous pouvez vous dire « encore un truc de plus »… Mais si vous prenez vos dispositions dès maintenant, si vous choisissez vos systèmes en prévision du futur, si vous adoptez des mesures préventives et observez une cyber hygiène, vous protégerez votre réputation, vos actifs et sécuriserez vos partenaires.
Jeune réseau, vous êtes conscients de ces risques et souhaitez adopter une approche préventive ?
Consultez le cabinet leader dans l’accompagnement des réseaux de franchise.
Nos experts sont à votre écoute.
- Consulter nos fiches pratiques, nos actualités et nos articles
- Lire nos témoignages clients
- Vous inscrire à notre newsletter
