La cybersécurité est tout autant une question d’hommes et de femmes, que de solutions informatiques et de gouvernance. 10 conseils pour contrer le risque cyber.

Plus de 700.000 euros : c’est le coût moyen d’une cyberattaque menée à l’encontre d’une entreprise, selon le rapport Risk:Value de NTT Com Security. Via Internet, par le biais d’une clef USB ou en s’en prenant directement aux postes de travail, les pirates informatiques sont plus proactifs que jamais. Comment déjouer leurs plans ?

1- Le facteur humain tu ne négligeras point

La cybersécurité est avant tout une question de culture d’entreprise : la vigilance doit infuser à tous les niveaux de l’organisation. « Dans la majorité des cas, une faille humaine est à l’origine des cyberattaques qui aboutissent à des compromissions. Cela illustre que la seule mise en place de systèmes de protection ne suffit pas », insiste Coralie Héritier, directrice générale d’IDnomic. La sensibilisation s’impose donc comme la pierre angulaire de toute démarche de protection . « Ensuite, pour aider les collaborateurs à s’approprier la cybersécurité, il s’agit de mettre à leur disposition des outils simples d’utilisation », poursuit Éric Laubacher, directeur Innovation sécurité chez Ercom.

2- Une gouvernance du risque cyber tu adopteras

La sécurité des systèmes d’information doit désormais s’intégrer à la stratégie business des entreprises. « Une démarche de gouvernance de la menace cyber s’appuie notamment sur la cartographie des risques. Cela permet de mesurer le potentiel impact business d’une cyberattaque », explique Jean Larroumets, PDG d’EGERIE Software. Si l’approche « risque » conduit à l’évaluation des conséquences et à la modélisation des systèmes, elle constitue aussi et surtout une aide à la prise de décision.

3- Le mouvement règlementaire tu suivras

Dans le cadre de la loi de programmation militaire, texte qui responsabilise les opérateurs d’importance vitale (OIV), certaines organisations ont pour obligation légale de se doter de dispositifs de protection de leurs systèmes d’information. « Les entreprises qui ne sont pas des OIV ont également tout intérêt à s’emparer du sujet car la menace est décuplée par la multiplication des réseaux et des objets connectés », prévient Coralie Héritier. Pléthore de textes vont dans le même sens : règlements européens eIDAS (sur les transactions électroniques) et GDPR (sur la protection des données), instruction interministérielle n°901 (sur les systèmes d’information sensibles)…

4- Une protection additionnelle aux données sensibles tu accorderas

Toutes les données ne se valent pas. « Il est important de bien différencier les données sensibles de celles qui sont déjà publiques. Par exemple, il n’est pas nécessaire de protéger des informations qui sont disponibles sur le site web de l’entreprise », pointe Éric Laubacher. La première étape consiste à identifier les informations stratégiques dont la fuite causerait d’importants dégâts. « Pour ce faire, il convient de demander à chaque direction métier d’effectuer un travail de typologie de leurs données sensibles », préconise Jean Larroumets.

5- Les « ransomwares » tu déjoueras

Les « ransomwares ou « rançongiciels », ces systèmes qui permettent la prise en otage des données et le « phishing » (usurpation d’identité) constituent un risque prégnant . « Le ransomware est la menace numéro un qui pèse à l’heure actuelle sur les entreprises », observe Jean Larroumets. Tout l’enjeu est la récupération des informations avant qu’elles n’aient été perverties. « Pour s’en protéger, nous conseillons de réaliser des « back-up » (sauvegardes ou copies de sécurité, NDLR) réguliers, de manière à retrouver les données telles qu’elles étaient avant d’avoir été corrompues par les hackers », suggère Julia Mason, responsable des produits sécurité d’Ercom.

6- La ségrégation des données tu favoriseras

Stop à la barrière unique. Il faut protéger les systèmes d’information comme on sécuriserait un bâtiment : avec des portes coupe-feu. « Il est essentiel de compartimenter les sources de données : si une attaque compromet une partie des datas, les autres ne sont pas nécessairement atteintes », souligne Julia Mason. La meilleure des protections est une démarche de défense en profondeur constituée de plusieurs anti-virus. « La DSI doit mettre en place des passerelles antivirales distinctes sur les postes de travail, les serveurs, les messageries… tous les composants actifs qui permettent de stocker des données », détaille Jean Larroumets.

7- Le chiffrement tu utiliseras

Veillant à la protection des données personnelles, la CNIL recommande aux particuliers de chiffrer leurs documents et disques durs . « Face à l’augmentation constante des cyberattaques, les entreprises doivent faire de même », prévient Éric Laubacher. Communications (e-mails, SMS…), consultations sur Internet, documents de tous types (vidéo, textes, tableaux…) : tout a vocation à être chiffré. « Le chiffrement peut s’appliquer à l’ensemble des outils dont le collaborateur a besoin dans le cadre de son travail, y compris les smartphone eux-mêmes », précise Julia Mason.

8- Du transfert d’informations sur le Shadow IT tu te méfieras

Dropbox, WeTransfer, Google Drive… Nombre de collaborateurs se servent de solutions de transfert grand public où la sécurisation des données n’est pas toujours garantie. Ils sont 44 % à avoir déjà utilisé ce type de sites de partage pour faire circuler des informations confidentielles (source : étude Symantec 2015). « L’entreprise doit imposer, et non pas proposer, le recours à des solutions totalement sécurisées », estime Julia Mason. Si elle pointe du doigt l’IT de l’ombre, elle valorise en revanche l’usage du cloud qui, selon elle, « permet la mutualisation de la ressource et un niveau de sécurité éprouvé ».

9- L’usage d’un certificat électronique tu généraliseras

C’est une sorte de carte d’identité numérique : le certificat électronique atteste l’intégrité d’un message et protège les accès aux systèmes d’information. Basé sur la technologie PKI (Public Key Infrastructure ou infrastructure à clés publiques), ce système assure la fiabilité des échanges. « Pour répondre à des besoins de sécurité élevée, le certificat électronique, fondé sur la cryptographie, est incontournable, indique Coralie Héritier. En fonction de la valeur qu’elles accordent à leur patrimoine informatique, les entreprises de toutes tailles et de tous secteurs peuvent y avoir recours ».

10- Le travail nomade tu encadreras

La mobilité a rendu nécessaire l’ouverture des points d’accès aux systèmes de l’entreprise. Ces nouveaux usages doivent s’accompagner d’une nouvelle approche de la cyberprotection. « Il faut adopter le même niveau de contrôle des outils et des usages que celui qui a cours au sein de l’entreprise », insiste Éric Laubacher. Attention, par exemple, au Wi-Fi ! « Les Wi-Fi publics gratuits sont la cible des hackers pour capter les données, constate Coralie Héritier. Il faut inciter les collaborateurs nomades à utiliser des réseaux sécurisés ». Il y a encore quelques années, les hackers ciblaient les serveurs. Désormais un simple smartphone ouvre l’accès à l’entreprise.

 
JULIE LE BOLZER – Les Echos – 14/03/2017