Transformation numérique : quels sont les risques pour les réseaux de franchise ?

La transformation numérique n’est cependant pas terminée puisque la moitié d’entre eux estiment que les outils mis à la disposition de leur réseau ne sont pas encore suffisamment développés.

Les franchisés utilisent majoritairement les réseaux sociaux pour communiquer (60%) et fidélisent leurs clients en proposant des cartes de fidélité. Plus de 80% des franchisés réalisent des campagnes d’e-mailing ou de SMS pour maintenir un contact régulier avec leurs clients ou développer les ventes. Au sein d’un réseau de franchise, l’usage d’outils numériques adaptés aux préoccupations économiques, stratégiques ou encore d’image de la marque représente une vraie plus-value. En revanche, si les enjeux de sécurité ne sont pas pris en compte, cette transformation numérique peut être source de risque important, tout particulièrement dans le contexte de cybercriminalité en forte recrudescence que nous connaissons depuis quelques années.

Par ailleurs, la gestion de la relation client, dans un modèle BtoC, impose la collecte, le stockage et le traitement de données à caractère personnel qui expose les franchiseurs et franchisés à des obligations réglementaires (RGPD). Au-delà du risque de sanction par la CNIL, selon une étude menée par OpinionWay, 8 français sur 10 se disent prêts à renoncer à acheter des marques qui ne respecteraient pas la règlementation sur la protection des données personnelles et 55% seraient même prêts à attaquer en justice l’entreprise non conforme.

Les réseaux de franchise : une source de revenus intéressante pour les cybercriminels

En effet, la transformation numérique ainsi que l’utilisation accrue des outils informatiques expose de manière significative les réseaux de franchise à la cybercriminalité. Les franchiseurs et les franchisés représentent une cible prioritaire pour les hackers du fait :

• De leur notoriété et de l’impact d’une cyberattaque sur l’image du réseau. Dans le cadre d’une attaque ransomware*, la victime est plus sensible au paiement d’une rançon pour redémarrer vite son activité.
• Des données collectées et de la valeur de ces données sur le DarkWeb* : identité, informations bancaires, informations économiques, informations sur la vie personnelle, etc.
• De la nécessité de partager ces données entre franchisés et franchiseur. Ces échanges transitent parfois sur des réseaux ou via des plateformes d’échanges de fichiers peu ou pas sécurisés laissant ainsi l’opportunité aux cybercriminels de les voler sans trop de difficultés.
• De la mise en place de portails permettant de collecter ou partager des données avec les franchisés ou les clients. De nombreux portails ont été développés durant la crise sanitaire pour maintenir ou faciliter les échanges. Dans ce contexte, certaines organisations ont privilégié la rapidité de déploiement à la sécurité des données que peuvent contenir ces portails (base clients, informations bancaires, etc.).

Deux entreprises sur trois ont été victimes d’une cyberattaque en 2021. Il est aujourd’hui indispensable pour les franchiseurs de protéger leurs outils, garantir la sécurité de leurs données, préserver leur image et garantir la pérennité de leur réseau. Il est également nécessaire de se protéger pour répondre aux exigences de conformité (légales, réglementaires ou contractuelles). Croire que la sécurité de son système d’information peut être assurée uniquement par des solutions technologiques est une erreur. En effet, 9 entreprises sur 10 ayant subi une attaque en 2021 disposaient de solutions de sécurité.

En France, l’email est à l’origine de plus d’une attaque sur trois. Le Web est utilisé dans un tiers des attaques. Les failles logicielles sont exploitées dans 17% des attaques et les périphériques externes (clés/disques USB) sont impliqués dans 14% des attaques. Il y a néanmoins un point commun à la majorité des attaques : l’humain.

L’utilisateur est généralement le déclencheur de l’attaque :

• Ouverture d’une pièce jointe dangereuse dans un e-mail ;
• Vol d’identifiant par hameçonnage (phishing) ;
• Utilisation d’un mot de passe simple ;
• Configuration/utilisation d’un accès à distance non sécurisé ;
• Emission/validation de faux ordres de virements (arnaque au Président) ;
• Connexion à des réseaux Wi-Fi non sécurisés (hôtel, gare, aéroport) ;
• Perte d’un terminal (smartphone, portable) contenant des données critiques et/ou stratégiques (code d’accès, données personnelles, fichiers clients, etc.) ;
• Partage de données sur des plateformes non sécurisées ;
• Utilisation d’objets connectés personnels non sécurisés dans l’entreprise.

Comment se protéger des cyberattaques ?

En adoptant une politique de cyberdéfense, ensemble de mesures techniques et non techniques, pour garantir la disponibilité, l’intégrité et la confidentialité des données. Pour définir sa politique de cyberdéfense, il est nécessaire de se poser quelques questions :

• Quel est mon degré d’exposition ?

Il dépend de l’activité du réseau de franchise et de son niveau de digitalisation : informatisation des services support uniquement, des process métier, des services délivrés aux clients.

• Quel est mon niveau de maturité face à la menace ?

Il dépend des mesures déjà mises en œuvre pour faire face à la cybercriminalité

• A quelles menaces mon organisation s’expose ?

Cela dépend de l’état de la cybermenace dans l’absolu mais aussi de son secteur d’activité ou de ses clients/partenaires.

• Quels sont les impacts pour mon réseau ?

Il est nécessaire d’évaluer l’impact financier direct et indirect des conséquences d’une attaque et d’adapter sa cyberdéfense en conséquence.

Transformation numérique : les conseils de nos experts en cybersécurité

L’ANSSI (Agence Nationale de la Sécurité des systèmes d’Information) recommande à toutes les organisations d’adopter les bonnes pratiques de son guide d’hygiène informatique. Il s’agit du socle minimum à respecter pour protéger ses informations. Le respect de ces règles permet à chaque organisation d’interagir avec son réseau (franchiseur/franchisés), ses partenaires et de servir ses clients en respectant l’intégrité et la confidentialité des informations qui les concernent.

Parmi les mesures recommandées, voici celles à mettre en œuvre en priorité selon nos experts en cybersécurité :

• Désigner un Responsable de la Sécurité des Systèmes d’Information (RSSI). Il peut être interne ou externe.
• Sensibiliser les franchisés et tous les utilisateurs aux bonnes pratiques élémentaires de la sécurité informatique (messagerie, nomadisme, support amovible, etc.)
• Rédiger une Charte d’utilisation des moyens et des outils numériques pour définir les risques et les limites des outils.
• Cartographier les données et les équipements sensibles.
• Définir une Politique de Sécurité du SI (PSSI) incluant une politique de mise à jour, une politique de mots de passe et une politique de sauvegarde.
• Faire évoluer les solutions de sécurité en fonction des risques. Les techniques d’attaque évoluent, les outils de protection également.
• Se mettre en conformité avec la réglementation.

La sécurité du Système d’Information du franchiseur, des outils mis à la disposition des franchisés ainsi que des données collectées doit être remise en cause régulièrement pour faire face à la cybercriminalité et à ses évolutions.

Les risque zéro n’existant pas, il appartient au franchiseur de sensibiliser ses franchisés et tous les utilisateurs sur les risques liés à la cybercriminalité. Si le système d’information proposé par le franchiseur est mutualisé ou interconnecté avec l’ensemble de ses franchisés, le niveau de sécurité global sera aligné au niveau de sécurité global sera aligné au niveau de sécurité le plus faible du réseau.

* Un ransomware (rançongiciel en français) est un logiciel malveillant ou « virus » qui bloque l’accès au Système d’Information ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès.

* Le Dark Web est un ensemble caché de sites Internet accessibles uniquement par un navigateur spécialement conçu à cet effet. Il est utilisé pour préserver l’anonymat et la confidentialité des activités sur Internet, ce qui peut être utile aussi bien pour les applications légales que pour les applications illégales. Si certains l’utilisent pour échapper à la censure gouvernementale, d’autres s’en servent également pour mener des activités hautement illégales.