Cybersécurité : prévention et gestion dynamique

cybersécurité : prévention et gestion dynamique

Cybersécurité : prévention et gestion dynamique – Source Pixabay CC0

Les risques informatiques qui inquiètent les PME : un CyberAudit peut s’avérer nécessaire

La créativité des pirates informatiques ne faiblit pas, les rançonsgiciels (ransomware) et autres logiciels malveillants pullulent. L’hameçonnage (phishing) est toujours en vigueur sur la toile. La mobilité des collaborateurs, le cloud et les espaces partagés de fichiers, l’Internet des objets participent de la multiplication des zones de risques financiers.

Et derrière chaque terminal ou poste, il y a un être humain, plus ou moins bien préparé à lutter contre l’ingéniosité des hackers.

Une menace qui pèse sur toutes les organisations

La France occupe la deuxième place du podium mondial des pays les plus soumis au vol de données sur Internet, derrière les États-Unis. Et croire que seules les multinationales ou les ETI (entreprises de taille intermédiaire) sont exposées est un déni de réalité. Il peut conduire à la catastrophe.

Les très petites entreprises (TPE) et petites et moyennes entreprises (PME) ne sont pas épargnées. En effet, elles constituent bien souvent des cibles privilégiées au motif qu’elles sont le maillon faible de la cybersécurité.

Elles entretiennent des relations avec d’autres structures plus importantes.  Pour autant, elles ne maîtrisent pas les règles fondamentales de la protection numérique.  Rarement, elles disposent de personnes dédiées à la gestion de ce risque.

4 PME sur 5 sont victimes d’au moins une tentative par an.

L’humain, maillon faible de la chaîne de cybersécurité

cybersécurité : prévention et gestion dynamique

Source -étude EULER Cybersécurité 2018

La sensibilisation des équipes doit être une préoccupation constante des organisations. Les cadres dirigeants sont généralement plus avertis des menaces et mieux formés à y faire face, ce n’est pas toujours le cas de collaborateurs malgré la publicité de certaines attaques qui ont fait le tour des médias de la planète.

Les assistants se sentent souvent moins concernés au motif qu’ils ne pensent pas détenir des informations stratégiques ou être au cœur des rouages numériques.

En réalité, ils constituent les cibles de prédilections des hackers qui profiteront de la moindre faiblesse pour pénétrer les réseaux des organisations. L’arnaque au Président en est une bonne illustration.

Les pirates essaient peu ou prou d’attaquer de front les entreprises, les associations ou les fondations. Elles ne cherchent pas à se confronter aux défenses mises en place, mais bien à entrer par des portes dérobées, des issues de secours, le premier niveau de la chaîne informatique.

Ainsi les fournisseurs et les prestataires externes sont particulièrement visés, de même que les réseaux sociaux sur lesquels postent les salariés. Certaines informations personnelles y sont récupérables, comme les dates d’anniversaire, le prénom des enfants, le surnom du chat ou du chien. oui je te dis c’est tout autant d’éléments qui potentiellement peuvent se retrouver dans les mots de passe d’accès aux applications, aux sites ou aux réseaux internes.

Cybersécurité: prévention et gestion dynamique ?

Dans le monde économique, la règlementation sur la protection des données (RGPD) ou la directive européenne NIS (network and information security), les référentiels de l’Agence nationale de la sécurité des systèmes informatiques (ANSSI) et la normalisation : l’ISO 27001 et 27002 participent d’un premier niveau de préparation.

On peut les définir comme le minimum requis de nature à protéger les échanges entre partenaires. Considérer que c’est suffisant et s’endormir sur ses lauriers peut coûter cher. La menace est protéiforme et évolue très rapidement. Aussi, il serait illusoire de prétendre bâtir une stratégie qui assurera l’inviolabilité des systèmes et un degré de protection absolu.

L’actualité se charge de rappeler que même des organismes comme les agences de renseignement, la CIA ou le FSB font l’objet parfois d’intrusion et de vols de données. Ces exemples doivent inciter à l’humilité.

La prévention ne suffit pas. Le plan de défense doit prévoir une capacité à identifier la présence des pirates qui ont réussi à ouvrir le coffre-fort, à lutter contre et à stabiliser la situation. Une étude a montré que la pénétration d’un système est très rapide (87 % en moins d’une heure). Tandis que la détection est beaucoup plus lente (68 %, plus de deux mois après l’intrusion).

Ainsi, une gestion dynamique de la cybersécurité doit compléter l’arsenal. L’entreprise, l’association ou la fondation doit envisager des tests d’intrusion à intervalle régulier. Soit sur la totalité de l’organisation, soit sur des parties spécifiques de son réseau.

Certaines organisations vont encore plus loin et lancent des défis contre récompenses à la communauté des hackers éthiques (Bug Bounty). Cela leur permet notamment de tester en continu la résistance de leurs systèmes.

La stratégie gagnante ?

Quoi qu’il en soit de votre cybersécurité : prévention et gestion dynamique demeurent les fondamentaux à déployer.

En savoir plus :

Altertehic : Le CyberAUDIT
ANSSI :  Les bonnes pratiques 
Gouvernement  : Site assistance et prévention du risque numérique

 

Auteur : Etienne TOGBÉ – Chef de mission Expertise-Comptable et Commissariat Aux Comptes

Date de publication : Le 06/11/2019

 

 

Imprimer