Le mois d’octobre n’est pas que rose, il est aussi celui des initiatives de sensibilisation aux questions de cybersécurité. L’occasion, une fois par an, de dresser un bilan des pratiques en matière de protection des données et de respect de la confidentialité.
Tribune – Quelle que soit leur envergure, les organisations doivent aller toujours plus loin pour assurer leur cybersécurité. Voici quelques bonnes pratiques faciles à mettre en place pour les 12 prochains mois :
- Investir dans la formation des utilisateurs et leur sensibilisation – cette mesure est un grand classique car elle est la condition sine qua non pour rester en sécurité. L’idée étant de se focaliser davantage sur l’éducation des utilisateurs que sur les menaces malveillantes. Ces dernières années, les tentatives de phishing et/ou d’ingénierie sociale ont en effet augmenté. Les menaces peuvent prendre la forme de messages inoffensifs au demeurant envoyés supposément par un collègue à partir de sa boîte mail personnelle et qui sont malheureusement ouverts avant d’avoir été identifiés comme étant dangereux. Il est donc essentiel d’investir dans la formation continue des utilisateurs et le lancement de tests anti-hameçonnage, car ceux deux pôles demeurent l’un des fondements d’une stratégie de protection fiable.
- Évaluer les risques posés par le télétravail – Depuis 2020, le télétravail est devenu une pratique établie. Du point de vue de la sécurité, cela n’est pas sans risque puisque de nombreuses variables compliquent l’équation. Si l’équipe informatique peut contrôler l’appareil de terminaison utilisé, elle ne maîtrise pas l’environnement d’utilisation, avec souvent le recours à des réseaux Wi-Fi non sécurisés et à des appareils connectés (IoT) de toutes sortes. Malheureusement, les risques induits augmentent, rendant ainsi indispensable l’usage de réseaux VPN associés à une identification multifactorielle pour donner accès aux systèmes les plus critiques de l’entreprise.
- Se méfier des outils et services gratuits – L’offre d’outils et services gratuits est pléthorique sur Internet, tous aussi attractifs que pratiques. Mais cette gratuité s’explique peut-être… L’utilisateur ne peut pas savoir ce qu’il adviendra des informations transmises de son plein gré. Une organisation doit donc adopter une approche multicouche pour limiter ces risques et rester en phase avec les directives de conformité en vigueur.
- Limiter les coupes et gels budgétaires – Les budgets informatiques ne sont généralement pas les plus élevés au sein d’une organisation. Les équipes souffrent souvent d’un manque d’investissement alors que plus de la moitié (54%) des professionnels de l’informatique martèlent que l’adoption d’outils de gestion dédiés est la meilleure solution pour contrôler des situations toujours plus complexes. Dans bien des cas, l’open source peut être providentiel, dans d’autres, le moment est peut-être venu de se lancer dans l’automatisation des tâches routinières. Alors n’attendez-pas pour agir !
- Gérer l’impact des menaces internes – Il peut arriver que la menace provienne de l’organisation elle-même et il est dès lors quasi impossible d’interrompre un incident une fois déclenché. Il est donc essentiel de prendre des mesures pour éviter ce type de catastrophe, en commençant par le déploiement d’une solution de protection contre la perte des données et en s’assurant de contrôler deux fois les permissions d’accès accordées.
Une bonne gestion de la sécurité passe par la reconnaissance de la complexité de la tâche. Pour cela, il faut faire un pas de côté afin de prendre la pleine mesure du rythme soutenu des évolutions et comprendre ce qui les rend nécessaires. Cette prise de distance permettra de surmonter ce défi et peut même être vectrice d’une croissance dans la durée.