Mes services
Assistance à distance

Team Viewer est un outil qui permet au Service Desk CISEL de vous dépanner à distance.

Actualités
02.03.18

En mai dernier, Renault a fait l’objet d’une cyberattaque, qui l’a obligé à fermer temporairement certains sites de production. En juin, plusieurs multinationales, dont Saint-Gobain et Mondelez, sont à leur tour victimes des cybercriminels. A chaque fois, les conséquences pour les entreprises visées sont dévastatrices. Aujourd’hui, aucune entreprise, quelle que soit sa taille, n’est à l’abri contre ce type d’attaque. C’est pourquoi les dirigeants devraient considérer la sécurité informatique comme un enjeu stratégique majeur. Comment se prémunir contre ces attaques alors même que les nouveaux usages de travail renforcent les risques ? C’est tout l’enjeu d’une stratégie de sécurité 2.0.

 

Quelles menaces pèsent sur votre sécurité informatique ?

A l’échelle mondiale, la cybercriminalité représente un marché florissant, dont le chiffre d’affaires s’élève à plusieurs milliards de dollars. Dans la pratique, ces attaques se répartissent en deux grandes catégories :

  • Les attaques traditionnelles exploitent des failles de sécurité connues sur les équipements.
  • Le social engineering consiste à exploiter les émotions des collaborateurs pour les inciter à commettre une fausse manipulation permettant de soutirer à l’entreprise des informations sensibles.

Les objectifs des cybercriminels peuvent être de plusieurs ordres :

  • Financiers: la cybercriminalité est un marché lucratif. Les bénéfices d’une attaque peuvent aller de quelques milliers d’Euros à plusieurs millions.
  • Stratégiques: un cybercriminel est engagé pour exfiltrer des données d’une entreprise concurrente ou l’empêcher d’opérer.
  • Géopolitiques: sur certains secteurs sensibles, comme l’énergie, la cybercriminalité peut être utilisée en vue d’inverser un rapport de force entre nations.

Quelles sont les conséquences de la cybercriminalité pour les entreprises ?

Les cyberattaques ont des conséquences très lourdes pour les entreprises concernées, à plusieurs niveaux :

  • Des dommages financiers: outre le coût immédiat des extorsions de fonds et des rançons versées aux cybercriminels, les attaques informatiques fragilisent le chiffre d’affaires des entreprises touchées ainsi que leur valorisation boursière.
  • Une dégradation de la réputation et de l’image de marquevis-à-vis des différents partenaires : comment rester crédible vis-à-vis de ses actionnaires ou de ses clients lorsqu’on se fait dérober des données confidentielles, par exemple ?
  • Une activité à l’arrêt: une attaque informatique oblige à mettre l’activité en suspens, le temps d’éliminer tout risque potentiel.

A titre d’exemple, Saint-Gobain a évalué à 250 millions d’Euros l’impact de l’attaque du ransomware NotPetya subie en juin 2017. Une stratégie de sécurité appropriée aurait-elle permis de contenir les dégâts ? Devant l’ampleur des sommes révélées par les entreprises victimes, une prise de conscience apparaît en tout cas indispensable.

Pourquoi est-il urgent d’adopter une stratégie de sécurité informatique ?

Longtemps, la sécurité informatique a fait les frais d’une logique de cloisonnement. En termes de budget, la cybersécurité ne représente souvent qu’une part limitée d’un budget informatique global (3 à 6% en moyenne)

Devant la prolifération des menaces, il apparaît aujourd’hui que les moyens alloués à la sécurité informatique sont largement insuffisants. L’ampleur des dégâts causés par les cyberattaques récentes a replacé la cybersécurité au cœur des enjeux stratégiques des entreprises.

En d’autres termes, la sécurité informatique ne devrait plus être l’apanage des services informatiques mais une question prise à bras-le-corps par les directions générales. C’est d’autant plus le cas que les évolutions récentes ou à venir poussent en ce sens :

  • L’évolution des pratiques numériques professionnelles: désormais, les collaborateurs d’une entreprise communiquent sur des réseaux publics, travaillent en mobilité ou en télétravail, accèdent à des données de l’entreprise via leurs appareils personnels. Ces nouveaux modes de travail, encouragés par l’entreprise, accroissent également les risques et soulèvent une nécessaire réflexion sur les questions de sécurité.
  • Les nouvelles régulations en matière de protection des données: l’entrée en vigueur, en mai  2018, du RGPD (Règlement Général sur la Protection des Données) dans les pays de l’Union Européenne, va renforcer les contraintes et les sanctions en matière de traitement et de conservation des données personnelles.

Comment mettre en place une stratégie de sécurité informatique ?

Une approche méthodologique de la sécurité informatique

Une fois que les enjeux de la sécurité informatique sont bien posés, l’étape suivante consiste à adopter une approche méthodologique de la cybersécurité. Cette approche pourra se décliner en 3 temps :

  • Une analyse des risquestechniques et comportementaux qui menacent la sécurité informatique de l’entreprise
  • Un audit interne des moyens mis en place pour minimiser les risques identifiés
  • La mise en œuvre d’une stratégie de sécurité informatique en 3 volets : un volet technique, un volet sur la formation et la sensibilisation des collaborateurs et un volet sur la gestion des processus de sécurité.

Une stratégie de sécurité en 3 volets

De manière générale, le volet technique est le mieux maîtrisé par les entreprises. Les services informatiques sont capables de protéger efficacement leurs équipements contre les menaces déjà identifiées.

Le deuxième volet, celui de la formation et de la sensibilisation des collaborateurs, mérite une attention particulière. Le social engineering cible les salariés comme des portes d’entrées faciles vers les données sensibles de l’entreprise. Aussi il convient de les sensibiliser aux risques de sécurité et de les former aux meilleures pratiques en matière de cybersécurité. En pratique, ce travail de formation devrait reposer sur 3 objectifs :

  • Offrir à chaque collaborateur un panorama des risques liés à la cybersécurité et au social engineering
  • Eduquer les collaborateurs aux bonnes pratiques en matière de sécurité informatique (détection des emails et appels frauduleux, gestion des mots de passe, …)
  • Sensibiliser chacun à ses responsabilités en matière de protection des données

Il est bien évident que les usages numériques d’un collaborateur varient selon le poste qu’il occupe et ses modalités de travail. Par conséquent, une fois posées les bases de la cybersécurité, vos programmes de formation gagneront à intégrer une part de contenus adaptés aux usages de chacun.

Enfin, la gestion des processus de sécurité consiste à mettre en œuvre, au niveau de l’organisation, des pratiques visant à se protéger contre les menaces. Cela passe par une veille technologique constante sur les nouvelles menaces, impulsée par une direction vigilante. Il s’agit d’anticiper et de prévenir les risques de sécurité potentiels. A ce niveau, il conviendra également d’estimer si une nouvelle évolution des modes de travail permise par l’entreprise est susceptible d’affecter sa sécurité informatique. Et, si tel est le cas, d’imaginer un programme de sensibilisation adéquat.

 

La riposte face aux cybercriminels repose à la fois sur des enjeux techniques, humains et organisationnels. C’est pourquoi la cybersécurité nécessite une réponse transversale. Pour cela, il convient non seulement d’intégrer la sécurité informatique à la stratégie globale de l’entreprise mais aussi d’impliquer l’ensemble des services et des collaborateurs. C’est bien sûr le rôle de la direction d’impulser cette démarche. Mais, pour les accompagner dans sa mise en œuvre, de plus en plus de dirigeants choisissent de faire appel à un spécialiste de la cybersécurité, qui coordonnera les actions avec les différents services.