Par Dylan Border, Director of Cybersecurity, Hyland
À l’initiative de l’ENISA (Agence de l’Union Européenne pour la Cybersécurité) et de l’ANSSI, le mois de la Cybersécurité est l’occasion d’échanger autour des cybermenaces, des bonnes pratiques et de débattre autour des enjeux actuels. Si de nombreuses grandes entreprises et collectivités sont régulièrement mises sous les feux des projecteurs à cause des cyberattaques qu’elles ont subi, affirmer qu’elles sont les seules à être la cible des pirates informatiques serait une ineptie. Et pour cause, les TPE et PME peuvent tout aussi bien devenir les victimes d’une cyberattaque et mettre plusieurs mois à s’en remettre. Afin d’éviter les pertes (financières et de données), voici cinq points essentiels que toute entreprise devrait mettre en œuvre pour se protéger contre les cyberattaques.
Numéro 1 : Le risque zéro n’existe pas
Il est indispensable d’abandonner l’idée qu’il est possible d’avoir une protection cyber suffisante capable de bloquer n’importe quelle menace. Pour les entreprises, les éléments techniques qui composent ces programmes cyber sont influencés par l’activité et la culture de l’entreprise : même si les entreprises sont extrêmement rigoureuses et prudentes en matière de cybersécurité, le paysage est en constante évolution, et par conséquent, le risque zéro n’existe pas. Un programme, basé à la fois sur les talents et la technologie défensive de pointe, doit toujours être éprouvé et mis à jour afin de s’adapter aux nouveaux cyber-risques. Enfin, les entreprises doivent assurer la transparence de leurs programmes cyber afin que l’ensemble des parties prenantes puissent comprendre les risques et appréhender les enjeux.
Numéro 2 : Sensibiliser les salariés est une nécessité
Si une entreprise ne dispose pas (encore) d’un plan de sécurisation de ses infrastructures, la première mesure à mettre en place en priorité consiste à former et à sensibiliser régulièrement les salariés. Dans cet objectif, les entreprises peuvent faire appel à des prestataires de services ou à des experts pour proposer des formations accessibles et rentables sur le long terme. Pour renforcer la cybersécurité de l’entreprise, chaque salarié doit appréhender son propre degré de responsabilité, et ce type de formations peuvent les aider à mieux comprendre et à intégrer les notions fondamentales. De son côté, l’entreprise pourra s’assurer que l’ensemble des collaborateurs dispose du même niveau d’informations et contribuer au maintien d’un environnement sécurisé.
De plus, il est possible d’approfondir la formation des salariés en fonction de leurs spécialités et de leurs rôles. Une formation dédiée aux personnes ayant des fonctions stratégiques est un excellent moyen de s’assurer qu’elles disposent d’un niveau de connaissance suffisant pour faire face aux menaces spécifiques. Certains salariés ont en effet accès à des données plus sensibles ou réalisent des tâches administratives stratégiques, et sont donc plus exposés au risque de compromission. Par exemple, former les experts financiers aux tactiques courantes de piratage utilisées pour voler des identités ou des données bancaires, les aidera à éviter les pièges plus facilement.
Numéro 3 : L’IA oui, mais pas à tout prix !
Au cours des derniers mois, l’Intelligence Artificielle (IA) est devenue le dernier assistant à la mode. Étant donné que cette technologie va très probablement être intégrée dans presque tous les processus des entreprises, ignorer cette innovation reviendrait à accepter d’être mis à l’écart, aussi bien sur le plan technologique que concurrentiel. Sachant que les différents prestataires de services, partenaires et concurrents, vont s’appuyer de plus en plus sur l’IA pour gérer leurs activités, il est nécessaire de vérifier que son utilisation ne vienne pas nuire aux activités commerciales et à la confidentialité des données. Pour éviter cela, l’établissement d’un cadre et de règles régissant l’utilisation de l’IA et l’exploitation des données par les différentes parties prenantes permettra de construire une base solide sur laquelle s’appuyer.
Numéro 4 : Cyberattaque, nous avons tous une cible dans le dos
La grande majorité des entreprises ne suivent pas l’évolution des pratiques en matière de cyberattaques – et comment les blâmer ? Le paysage des cybermenaces évolue à une vitesse vertigineuse et beaucoup d’entreprises ne sont pas suffisamment armées pour contrecarrer les principaux types de cyberattaques qui sévissent depuis plusieurs années. Trop souvent, elles ne se préoccupent de ces facteurs qu’une fois au pied du mur, alors qu’elles font face à une cyberattaque. Toutes les entreprises travaillent avec des partenaires externes et gèrent des flux financiers, ce qui représente une mine de données. Aujourd’hui, les entreprises doivent changer leur façon de penser : la question n’est plus de savoir « si » une cyberattaque va survenir, mais « quand » elle va se produire. Les cyberattaques, pouvant revêtir différentes formes et être plus ou moins étendues, peuvent s’avérer coûteuses et préjudiciables même si elles n’interrompent pas l’ensemble des activités. Ce n’est pas parce que vous ne voyez pas spécialement pourquoi vos données, vos systèmes ou vos flux financiers pourraient intéresser un cybercriminel, que celui-ci va vous épargner.
Numéro 5 : Ne pas se reposer sur ses lauriers
Dans un monde idéal, toutes les entreprises disposeraient d’équipes ou de partenaires externes dédiés à la cybersécurité, habilités par les parties prenantes pour évaluer et améliorer en permanence les systèmes. Pour celles qui ont su s’entourer des bonnes personnes, le travail de cyberdéfense doit être constant pour pouvoir s’améliorer. Si les audits et les besoins spécifiques peuvent varier d’un secteur à un autre, il est nécessaire d’avoir recours à des prestataires externes afin d’évaluer la sécurité de l’entreprise. Pour ce faire, l’entreprise peut être soumise à un exercice de simulation de gestion d’incident de sécurité, à un test d’intrusion des systèmes critiques, ou à l’examen de sa politique cyber actuelle. Sachant que l’environnement des menaces reste en mouvance, la méthodologie appliquée doit régulièrement être révisée par une tierce partie, et que le programme cyber soit à jour et conforme aux normes du secteur d’activité.
À l’heure où les cyberattaques ne cessent de déferler sur les entreprises du monde entier – et la France n’est pas épargnée – il est nécessaire de mettre en place une stratégie globale de cyber-protection. En s’entourant d’experts compétents, en essayant de comprendre l’ampleur de la menace et les conséquences qu’elle pourrait avoir sur la pérennité d’une entreprise, les dirigeants auront de meilleures chances de protéger leur entreprise et leurs clients. Enfin, choisir les bons outils de défense et former les salariés participeront à créer de meilleurs réflexes en cas d’attaque. Comme un château sans muraille, il ne faut pas laisser le champ libre aux cybercriminels, sans quoi la bataille est perdue d’avance.