Cybersécurité: faites rimer IT et priorité

Image d'illustration © Getty Images

Dans un environnement numérique en expansion continue mais susceptible de devenir hostile sans prévenir, les dirigeants d’entreprise ont tout intérêt à considérer la cybersécurité comme un investissement et non plus une dépense. Piqûre de rappel pour une vision long terme.

Un chef d’entreprise ne doit pas mesurer tardivement la nécessité de la sécurisation des données numériques et des parcs informatiques. Il ne doit pas attendre une base client leakée sur le web, un serveur encrypté contre demande de rançon, un sabotage des services en ligne, etc. Surtout en cette période où le télétravail continue d’exposer plus facilement le personnel aux cyberattaques sur le réseau de leur domicile, moins protégé.

“Le tout part d’une saine réflexion: où sont mes données et comment puis-je y accéder? Afin de minimiser les risques liés à la cybersécurité, nous adoptons toujours cette approche chez nos clients”, explique Frédéric Malgrève directeur de Connectis. Cette société est la division spécialisée en gestion informatique globale de Connectis Group, entreprise bruxelloise rassemblant les différents métiers de l’IT depuis près de 20 ans et partenaire technologique de nombreux acteurs économiques de renom. Préalablement à toute initiative en matière de cybersécurité, les entreprises doivent identifier leurs points faibles. Cette analyse constituera la base d’un plan stratégique incluant les priorités, les étapes, outils et ressources financières nécessaires pour atteindre le niveau de sécurité visé.

Avant toute initiative en matière de cybersécurité, les entreprises doivent identifier leurs points faibles.

“Nous constatons que combiner les différentes possibilités d’analyse technique et de gouvernance apporte le meilleur résultat afin d’identifier les risques les plus importants”, indique Dimitri Fautré, lead cyber security engineer pour le cabinet de conseil EY.

Suivi (pro)actif

Il va sans dire que l’utilisation d’anti-virus et de firewall reste incontournable. Mais en plus de ces outils, il faut encore s’assurer que l’ensemble des logiciels et des appareils (PC, serveurs, commutateur réseau) soient à jour. “Cela semble évident mais nous rencontrons souvent des cas où un manque de mises à jour crée des failles dans les systèmes. Quelle que soit la taille d’une société, les dispositions prises dans le cadre de la cybersécurité doivent être coulées dans une politique de sécurité digitale”, expose Frédéric Malgrève. Ce cadre formel permet de veiller à trois dimensions principales: la gestion efficace des accès, le stockage des données et la conscientisation des utilisateurs.

FRÉDÉRIC MALGRÈVE (CONNECTIS GROUP):
FRÉDÉRIC MALGRÈVE (CONNECTIS GROUP): “Nous rencontrons souvent des cas où un manque de mises à jour crée des failles dans les systèmes.”© PG

Sans oublier que le numérique dépend fortement du physique. “Bien que beaucoup d’entreprises prennent des mesures afin de se protéger contre les désastres tels que des incendies, inondations, perte d’électricité, nous voyons au sein du marché belge que le contrôle de l’efficacité des mesures est bien moins répandu. Tester devrait être la norme”, conseille Dimitri Fautré, pour qui un plan de reprise d’activité testé de façon récurrente permet de bien mieux se prémunir.

Organisation des va-et-vient

Il est crucial de savoir qui a accès à quelles données et de s’assurer qu’on accorde bien les accès appropriés aux bonnes personnes. Ces autorisations doivent être vérifiées régulièrement et adaptées si nécessaire selon l’évolution des besoins, des rôles et responsabilités.

“Pour les autorisations externes, il est primordial de maîtriser les accès vers internet. Devons-nous forcément avoir tous un accès total à tout ce qui se trouve sur le web? Mais les accès externes, c’est également maîtriser la façon dont nos données sont partagées avec des personnes étrangères à l’entreprise. Cela peut être des consultants, des clients, des partenaires. Une pièce jointe dans un mail est une donnée que vous ne maîtrisez pas”, souligne le directeur technique de Connectis.

Assurer des sauvegardes

Et en cas de problème, mieux vaut savoir récupérer ses données ou une version la plus récente. “C’est-à-dire, par exemple, sur les serveurs locaux, dans le cloud ou sur les disques durs des PC, mais cette dernière option est à éviter, souligne Frédéric Malgrève. Si on fait appel à des espaces de stockage chez les grands joueurs internationaux, où la localisation et l’accès sont souvent inconnus, il faut impérativement maîtriser la localisation d’un back-up. Ceci peut se faire chez un acteur professionnel. Il est donc nécessaire de stocker les données à plusieurs endroits – idéalement au moins une localisation en cloud et une localisation sur site.”

Certes, le directeur de Connectis prêche pour sa chapelle puisque l’entreprise propose plusieurs solutions de sauvegarde sur propres serveurs en Belgique. Mais le procédé a le mérite d’offrir de la transparence et un accès physique en cas de besoin. De manière générale, la société IT bruxelloise accompagne ses clients pour mettre sur pied une autre politique de sauvegardes qui définit la localisation des données et la fréquence des back-up. “Bien évidemment, plus ils sont fréquents, plus les données seront récupérables”, affirme Frédéric Malgrève. Quant au coût de cette sécurisation, il dépend de deux variables, à savoir la durée maximale d’interruption qu’une entreprise peut tolérer et le moment de la dernière sauvegarde.

Entraînement des troupes

Les solutions techniques conçues pour atténuer l’impact causé par des failles humaines ont fortement progressé ces dernières années mais elles ne garantissent certainement pas une sécurité totale. “C’est pourquoi il est important d’investir dans l’éducation des employés afin de les sensibiliser sur les effets potentiels”, soutient Dimitri Fautré, lead cyber security chez EY.

Et s’il est recommandé de renforcer les technologies, il en va de même pour la gouvernance afin d’assurer la continuité de l’organisation en cas d’incident. “Ceci inclut la formation du management à la gestion d’une cybercrise”, épingle-t-il. Chez Connectis, on recommande d’ailleurs de lancer de fausses campagnes de spams et d’hameçonnage, à la suite desquelles les pseudo-victimes pourraient bénéficier d’un débriefing personnalisé.

Check-list

Si le plan stratégique diffère d’une entreprise à l’autre, note le cabinet EY, l’expérience montre que certaines priorités bien concrètes se retrouvent chez la plupart d’entre elles:

  • Préparation: établir une stratégie et une vision de la cybersécurité ajustées au profil de l’entreprise et à son éventuelle aversion au risque ; et établir un plan de continuité solide.
  • Sensibilisation: responsabiliser les collaborateurs de l’organisation, et spécifiquement ceux du service financier, pour éviter les fraudes à la facture par exemple.
  • Cartographie: identifier les biens informatiques les plus critiques au sein de l’organisation afin d’y appliquer les mesures de cybersécurité adéquates.
  • Intégration: veiller à ce que la cybersécurité soit partie intégrante de toute nouvelle initiative.
  • Analyse: mener de façon récurrente des analyses opérationnelles afin d’éviter que des failles puissent apparaître au fil du temps.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content