Publié par UnderNews Actu - Télécharger l'application Android

L’explosion des technologies numériques change complètement la donne en matière de sécurité informatique dans les entreprises. Avant, il était possible d’avoir un mode de fonctionnement basé sur la réaction à posteriori : lorsqu’une faille était identifiée, il suffisait de rajouter un complément de sécurité afin de bénéficier d’une protection efficace.

Tribune par Nicolas J. Lecocq – Aujourd’hui, à l’époque du “tout digital”, il est primordial d’adopter une autre approche ! Parler simplement de sécurité est devenu obsolète, puisque nous sommes déjà entrés dans l’ère de la cybersécurité et de la cyberdéfense.

Mais comment faire accepter les dépenses de cybersécurité aux directeurs financiers, et aux dirigeants qui considèrent la plupart du temps cet investissement injustifié, voire impossible à réaliser ? Beaucoup de chefs de PME, et même de grandes entreprises, considèrent le monde du digital comme un risque trop coûteux, un univers incompatible avec la sécurité et souvent sans connaître leur ratio risque sur bénéfice.

Nicolas J. Lecocq, Senior IT Executive et spécialiste reconnu dans le domaine des nouvelles technologies et celui du digital, préconise d’adopter une approche “top down”. L’idée est de phaser sa démarche, de partir de l’existant pour le transformer par étapes, afin de limiter les coûts et de gagner en efficacité.

1) Faire le point de la situation

Il faut avoir une vision claire de la situation de l’entreprise à chaque instant, avant d’envisager d’agir, il est important de se rendre compte que l’on ne peut protéger que ce que l’on connaît. Par exemple, une étude a montré que 68% des employés ont conscience de détenir des données critiques… mais, ils ne savent pas lesquelles, ni comment les protéger.

Il est extrêmement important de faire un inventaire (et le tenir à jour) de l’ensemble, et pas seulement des composants techniques, en incluant notamment les fournisseurs, les contrats/SLA, les utilisateurs, les clients cibles, de même que les librairies source (Open ou non), des codes, des données, des flux, et de l’ensemble des infrastructures (liste non exhaustives).

Au-delà de l’inventaire il est impératif de connaître la criticité de ses assets. Il est évident que l’on ne protège pas les informations de la même manière qu’elles soient « publiques » ou « sensibles/secrètes » de même que le coût de reconstruction, qu’il soit faible ou onéreux.

Finalement, il faut rester au courant de ce qui se passe et des tendances dans le monde de la cybersécurité. En effet, les solutions d’aujourd’hui risque de devenir obsolètes demain.

2) Identifier ses vulnérabilités

Quelles sont les données sensibles à protéger ? Quels sont les éléments susceptibles de fragiliser leur sécurité et leur confidentialité ? Dans la mesure, où chaque entreprise à ses forces et ses faiblesses, il est important de dresser un bilan objectif et exhaustif.

Exemple : une entreprise qui a des difficultés financières et qui risque une OPA hostile est nettement plus exposée qu’une entreprise ayant des bases solides.

3) Déterminer les risques

La question n’est pas de savoir s’il y a des risques, mais, de repérer lesquels. Les failles potentielles sont partout, personne ne peut se considérer à l’abri. Par exemple, en 2015, des chercheurs ont montré avec quelle facilité, il était possible de pirater un réfrigérateur connecté afin d’obtenir tous les comptes Google de la famille ! (Source)

On définit les risques sur une matrice Probabilité sur Sévérité pour avoir une vision claire des risques.

PIA VPN

Nicolas J. Lecocq souligne :

“Toutes les technologies que nous utilisons au quotidien augmentent les surfaces d’attaque. Il faut donc commencer par cerner les risques inhérents à chacun de ces éléments : les comptes étendus, les personnes à forte mobilité, les datacenters « On-premise », le cloud, les appareils connectés (IoT), …, sont tous potentiellement des ouvertures pour des attaques, on parle alors d’augmentation de la surface d’attaque. Plus elle est grande, plus les risques sont grands.”

4) Identifier les sources Cyber d’informations

Avoir la connaissance de son environnement, de ses propres vulnérabilités et des risques inhérents est déjà une base solide, surtout si on ne met pas en place des solutions « sur étagère ». Ce type de solution « constructeur » nécessite d’autres sources d’information pour connaître leurs vulnérabilités.

On peut facilement se dire que le site de la solution fournit l’information nécessaire et bien pas forcément. Donc, il faut s’abonner à des sources fiables d’information de sécurité telles que OWASP, ANSSI, US-CERT (CISA), …

5) Monitoring, remontée d’alerte et analyse

Quand et à quelle fréquence. On pourrait être fortement surpris du nombre de tentatives d’attaque par seconde. Il est nécessaire de le mettre en valeur. En effet, il est difficile de justifier des contre-mesures si on ne peut mettre en avant les sources et les fréquences des attaques. Il faut garder à l’esprit que dans l’aire de la cybersécurité, cyberdéfense, les hackers ont plus que jamais un temps d’avance notamment avec l’utilisation des nouvelles technologies digitales, tel que le deep learning et l’intelligence artificielle.

Pour illustrer le besoin de monitoring, en 2018 un organisme attaché à l’ONU s’est rendu compte d’un piratage massif qui était latent depuis 2 ans et qui a permis aux hackers d’accéder aux données privées des membres affiliées à cet organisme directement. (Source)

6) Mettre en place des contre-mesures globales

Il est nécessaire d’évaluer la probabilité que le risque puisse survenir et de mettre ensuite en place des correctifs adaptés. Tout l’enjeu est de ne pas se focaliser uniquement sur le risque technique ou celui lié à la protection des données, comme les responsables IT ont tendance à le faire.

La notion de risque doit être appréhendée de façon globale, car les conséquences d’un piratage sont nombreuses. La perte de crédibilité par exemple, aux conséquences très lourdes pour l’entreprise doit aussi être qualifiée, sans compter les amendes importantes que l’entreprise risque en cas de perte de données.

7) Passer à une culture de la cybersécurité dans l’entreprise

Si, les six étapes précédentes suffisent à rassurer les directeurs financiers concernant les dépenses de sécurité, il est capital d’aller beaucoup plus loin en travaillant sur deux axes majeurs : la “security by design” et la “security by awareness”, en d’autres termes mettre en place une culture de protection et de prévention.

La “security by design” consiste à intégrer la sécurité dès la conception d’une solution (un logiciel, une application, un objet connecté, un site web…). Chaque groupe IT et chaque développeur a la responsabilité de protéger les données et la solution.

La “security by avareness” met quant à elle l’accent sur la pédagogie et sur la formation. Chaque acteur de l’entreprise (y compris les stagiaires, les externes, les fournisseurs et même les clients) doit avoir les bons réflexes lorsqu’il est en présence de situations à risque. Il faut sensibiliser à la cybersécurité et aux conséquences potentielles liées à certains comportements car le maillon faible de la protection des données est et restera le facteur humain. Par exemple, il y a deux ans au Royaume-Uni, une grosse attaque de type “ransomware” a paralysé plusieurs hôpitaux tout simplement parce qu’un membre du personnel avait cliqué sur un email frauduleux. (Source)

Nicolas J. Lecocq précise :

“Quand il y a un état d’esprit dans l’entreprise centré sur la cybersécurité, il est beaucoup plus simple ensuite de définir et d’appliquer les mesures de protection nécessaires, ainsi que de calculer le retour sur investissement.”

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , ,

Recherches en relation :

  • lère de la données

Vos réactions

Ils parlent du sujet :

  1. Veille Cyber N226 – 15 avril 2019 |

    […] Il y a urgence à passer de l’ère de la sécurité à celle de la cybersécurité […]





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.