LA CYBER SECURITÉ en 2020

Les enjeux de la cybersécurité en entreprise restent mal connus, donc mal pris en compte. Or, les effets d’une cyberattaque, d’une défaillance technique ou d’une négligence humaine peuvent sérieusement impacter l’activité d’une organisation. Il est indispensable d’ériger des garde-fous pour se prémunir contre ces risques « cyber ».

80 % des organisations ont subi au moins une cyberattaque ces douze derniers mois. Tel est le constat du baromètre de la cybersécurité des entreprises publié par le Cesin. Loin de faiblir, le risque cyber devient de plus en plus prégnant. La transformation numérique et ses corollaires (dépendance accrue aux outils, interconnectivité des systèmes d’information, généralisation du stockage dans le Cloud…) ont généré toute une gamme de nouveaux risques contre lesquels les entreprises ne sont pas suffisamment armées. En matière de cyberdéfense, trop d’organisations s’appuient encore sur des systèmes défaillants et des solutions individualisées, alors que la menace s’est globalisée. Il y a donc urgence à prendre conscience des risques, et à adopter les bonnes pratiques (technologiques et humaines) pour améliorer la cybersécurité en entreprise.

Cybersécurité en entreprise : des enjeux de plus en plus centraux

Les cyber-incidents arrivent en deuxième position des risques les plus redoutés par les organisations, devant les catastrophes naturelles, d’après le baromètre annuel d’Allianz (2). L’interruption d’activité occupe la première place, mais au coude à coude avec le cyber-risque – deux préoccupations interdépendantes. Car les incidents informatiques ont souvent pour conséquence une interruption ou un ralentissement de l’activité, en raison de l’interconnexion toujours plus marquée entre celle-ci et les systèmes informatiques. En somme, plus l’entreprise dépend de son SI, plus les risques « cyber » sont élevés, et plus les enjeux de la cybersécurité deviennent centraux.

Le besoin de cybersécurité en entreprise est devenu une réalité à laquelle les organisations ne peuvent plus se soustraire. Il y a cinq ans, ces risques occupaient seulement la 15e position du baromètre… Aujourd’hui, les craintes relatives aux crimes technologiques, aux défaillances informatiques ou aux violations de données, font partie du quotidien des organisations. Avec des effets (négatifs) concrets : ralentissement de la production (pour 26 % des entreprises), indisponibilité temporaire du site web professionnel (23 %), retards de livraison (12 %), perte de chiffre d’affaires (11 %), et arrêt de la production pendant une période significative (9 %). (1)

Pour prendre quelques exemples (tristement) célèbres : en 2015, la cyberattaque dirigée contre la chaîne TV5 Monde a nécessité une reconstruction totale du SI, sur une durée de six mois. En 2017, suite au ransomware NotPetya, Saint-Gobain a enregistré une perte de 220 millions d’euros. Touchée via un logiciel de l’administration fiscale ukrainienne, la filiale locale du groupe a été contaminée en quelques minutes. Des milliers de données ont été altérées et la direction a dû suspendre tous les réseaux. La même année, le virus WannaCry a infecté plus de 300 000 postes de travail professionnels dans 150 pays, paralysant des organisations entières…

Des risques à identifier en amont

L’identification des risques en amont est l’un des enjeux majeurs de la cybersécurité en entreprise. C’est qu’il est essentiel de connaître (et de comprendre) ce que l’on cherche à combattre. À ce titre, on peut distinguer trois grandes familles de menaces : les cyberattaques, les risques inhérents aux services Cloud, et les négligences humaines.

Les cyberattaques résultent d’une volonté de nuire, par appât du gain ou pour mettre en difficulté une organisation (dans un but concurrentiel, pour lui soutirer des informations, etc.). On parle alors de « cybercriminalité ». Parmi les attaques les plus courantes :

L’attaque au virus informatique, qui a pour but d’accéder à un SI défaillant ou mal protégé pour détruire tout ou partie des données de l’entreprise, ou pour soustraire des informations sensibles (secrets de fabrication, droits de propriété, etc.). D’autres types d’attaques peuvent s’en prendre au site web de l’entreprise, par exemple en l’inondant d’informations inutiles pour provoquer un crash.

Le phishing (hameçonnage) consiste à utiliser un email ou un site web contrefait pour induire un individu en erreur et collecter ses données confidentielles, ou rendre sa machine vulnérable à l’injection d’un logiciel malveillant (malware).

Le ransomware (littéralement « logiciel de rançon ») infecte les postes de travail en verrouillant l’écran et/ou en chiffrant des données importantes auxquelles l’utilisateur n’a alors plus accès. Pour travailler normalement ou récupérer des informations confidentielles, celui-ci est incité à verser une rançon.

L’attaque dite « au président », méthode d’extorsion par laquelle un tiers malveillant se fait passer pour un membre de la direction, généralement pour soutirer de l’argent ou des informations.

Les techniques d’ingénierie sociale, manipulations psychologiques ayant pour objectif de soutirer à un utilisateur des informations de façon frauduleuse, afin d’obtenir l’accès à un système d’information.

Se protéger contre ces attaques suppose d’ériger des barrières ad hoc, donc d’adopter une vraie démarche de cybersécurité en entreprise.

Les risques liés aux services Cloud et les négligences humaines sont interdépendants. Le stockage des données en ligne ne génère de risque véritable qu’à partir du moment où les outils sont mal utilisés (ou mal configurés à la base), ou bien lorsque les utilisateurs font preuve de négligence au regard des consignes élémentaires de sécurité. Utilisation d’applications Cloud qui n’ont pas été approuvées, erreurs de configuration SaaS/IaaS/PaaS, partage accidentel de données sensibles… Ces risques augmentent à mesure que les outils Cloud prennent plus de place dans l’organisation. Et la principale menace pesant sur les organisations est interne : 80 % des entreprises sont confrontées au risque de voir des comptes utilisateurs compromis (3). Cette pratique, qui consiste à utiliser des applications personnelles à des fins professionnelles (avec tous les risques afférents), s’appelle le « Shadow IT », ou « informatique de l’ombre ». Le danger n’est pas négligeable : 86 % des applications Cloud utilisées au sein des organisations n’ont pas été autorisées par la DSI, selon une étude CipherCloud.

Le problème ne réside pas dans le stockage sur le Cloud, qui offre plus d’avantages que d’inconvénients en matière de sécurité (ne serait-ce qu’en sauvegardant les données sur des serveurs externes, loin des menaces matérielles qui pèsent sur les locaux des entreprises), mais dans le manque de sensibilisation des collaborateurs aux risques liés à la non-maîtrise des processus de collecte et de stockage. La cybersécurité en entreprise est un enjeu humain avant d’être un enjeu technologique.

Une prise de conscience progressive

Un nombre croissant d’entreprises prend conscience de la nécessité de créer des cyber-garde-fous. Trop souvent, néanmoins, cette prise de conscience est le fait de victimes d’attaques. Les autres ont encore trop de freins, notamment l’opposition entre « culture du risque » et « culture de la productivité » : elles pensent, à tort, que le second doit primer sur la première, alors même que la sécurité est l’une des conditions de la productivité. En cas de cyberattaque, il faut bien que le système perdure.

À ce jour, la cybersécurité en entreprise représente moins de 5 % du budget alloué aux TIC (c’est vrai pour 59 % des organisations (1)). C’est loin d’être suffisant. Pour Guillaume Poupard, patron de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), « le budget alloué à la cybersécurité des entreprises devrait représenter au moins 10 % du budget global du DSI ».

Identifier les risques, c’est une bonne chose. Mais il faut aussi se donner les moyens de s’en prémunir. Or, dans ce domaine, les investissements ne font pas tout : s’il est essentiel d’adopter les outils adéquats, le premier levier de cybersécurisation a trait aux collaborateurs eux-mêmes.

Les bonnes pratiques pour renforcer la cybersécurité en entreprise

Au regard des enjeux grandissants de la cybersécurité en entreprise, quelles sont les bonnes pratiques pour renforcer ses garde-fous numériques ?

Adopter les bons outils. À menace numérique, réponse technologique : il existe des outils à mettre en place en amont pour prévenir les risques (c’est le cas de nos solutions pour le stockage et le partage des données, pour l’authentification par signature électronique, etc.), pour détecter les menaces, pour les analyser, et pour corriger/renforcer les éventuelles failles techniques.

Mettre à jour les logiciels existants. Les outils de l’entreprise doivent être actualisés régulièrement pour prendre en compte les menaces les plus récentes. C’est vrai des antivirus, mais pas seulement.

Identifier les données sensibles à protéger. Toutes les informations ne se valent pas, certaines sont plus précieuses que d’autres. Il est nécessaire d’identifier les données à risque et de focaliser ses efforts sur leur protection – surtout dans le cadre du RGPD, qui veille à la bonne utilisation et à la sécurisation des données utilisateurs.

Sauvegarder les données et les mettre en lieu sûr. Cela permet d’éviter que les données essentielles de l’entreprise soient altérées, dégradées ou supprimées, avec des conséquences majeures sur l’activité. Une restauration des données et/ou du système, grâce à une solution de backup, contribue à limiter les effets négatifs d’une cyberattaque.

Renforcer les droits d’accès. Avec les solutions en mode SaaS et le stockage sur le Cloud, un simple mot de passe ne suffit plus. Les accès doivent être protégés par des mécanismes d’authentification forte.

Créer un plan de continuité d’activité. C’est une précaution essentielle pour préserver l’activité d’une entreprise et lui permettre de se remettre sur les rails aussi vite que possible à la suite d’une attaque.

Sensibiliser les collaborateurs à la cybersécurité en entreprise. C’est le point clé : selon une étude publiée par l’Université de l’Alabama à Birmingham en 2015, 75 % des organisations voient la négligence des salariés comme la principale menace pesant sur les données sensibles (4).

La sensibilisation des collaborateurs, clé de voûte de la cybersécurité

Insistons sur la dernière bonne pratique de notre liste. Pour les RSSI (responsables de la sécurité des systèmes d’information), l’enjeu numéro un de la cybersécurité en entreprise est celui de la sensibilisation des utilisateurs et de leur formation (1). Même sensibilisés, les salariés s’impliquent peu et tendent à négliger les recommandations qui leur sont faites. En 2017, le cabinet Deloitte a été victime d’un piratage qui a duré plusieurs mois : les hackers ont accédé au SI en passant par un compte administrateur mal protégé (par un simple mot de passe). En cause : une erreur humaine, celle d’un employé qui s’est facilité la vie en optant pour un mécanisme d’authentification aussi peu exigeant que possible.

La dimension humaine est donc primordiale. Derrière son écran d’ordinateur, de smartphone ou de tablette, le collaborateur est en première ligne face aux risques « cyber ». C’est cette position privilégiée qui en fait aussi le principal maillon faible de la chaîne de cybersécurité en entreprise, comme le prouvent les « succès » remportés par les malwares, ransomwares et autres « techniques d’ingénierie sociale » qui jouent sur la crédulité des personnes pour atteindre leur but.

Il y a donc tout un travail pédagogique à mener, en amont, auprès des collaborateurs. Charte pour matérialiser les bonnes pratiques individuelles et collectives, formations en présentiel, sessions d’e-learning permettant des formations à distance et au rythme de chacun, mises en situation à travers des attaques factices… Autant de méthodes pour enseigner aux salariés les rudiments de la cybersécurité en entreprise, et le rôle que chacun d’eux peut y jouer – au-delà des outils.

En matière de cybersécurité, l’utilisateur est souvent vu comme une partie du problème. En réalité, il est surtout une grande partie de la solution. Adopter les bons outils de protection est un excellent début ; mais il faut encore sensibiliser les utilisateurs, les former aux bonnes pratiques, et leur montrer qu’ils sont les leviers les plus efficients pour garantir la sécurité numérique de leur organisation.

SÉCURITÉ DES MOTS DE PASSE

Pour protéger vos informations, il est nécessaire de choisir et d’utiliser des mots de passe robustes, c’est-à-dire difficiles à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne.

Voici quelques recommandations :

Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire ;

Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;

Ne demandez jamais à un tiers de générer pour vous un mot de passe et encore moins les mots de passe générés par des sites qui vous le proposent ;

Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;

Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 30 jours est un bon compromis pour les systèmes contenant des données sensibles ;

Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur Internet), encore moins sur un papier facilement accessible ;

Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;

Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.

La robustesse d’un mot de passe dépend en général d’abord de sa complexité, mais également de divers autres paramètres, expliqués en détail dans le document Recommandations de sécurité relatives aux mots de passe.

Si vous souhaitez une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).

Deux méthodes pour choisir vos mots de passe :

La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;

La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

Personnellement j’utilise une clé USB dédiée à mes MOTS DE PASSE et dès que j’ai besoin d’un mot de passe, je branche ma clé USB et je fais un copier-coller du mot de passe (ctrl/C-ctrl-V).

Je vous donne pour exemple, un de mes mots de passe utilisé en 2018 :

@$g(*5l)B46MR1*g&4$PK(@cNXiH4D0xsyy!$8%6y5$@

Merci de ne pas hésiter à me solliciter si vous avez besoin d’explications complémentaires ou d’interventions en cybersécurité.

Yan David

Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets