Cybersécurité : quelles pratiques doivent adopter les entreprises ?

 |   |  1028  mots
Aujourd'hui, les experts considèrent qu'au moins quatre types d'outils sont nécessaires pour se prémunir des cyberattaques : des outils « amonts », des outils de détection, des outils de remédiation ou d'analyse et des outils de correction.
Aujourd'hui, les experts considèrent qu'au moins quatre types d'outils sont nécessaires pour se prémunir des cyberattaques : des outils « amonts », des outils de détection, des outils de remédiation ou d'analyse et des outils de correction. (Crédits : Reuters)
Malgré une prise de conscience des risques liés à cybercriminalité, de nombreuses entreprises n'ont pas encore pris le problème à bras le corps comme le montre la multiplication des cyberattaques d'envergure ces dernières années. Pourtant, certains outils et des bonnes pratiques permettent d'anticiper et minimiser sensiblement l'impact d'un cyber-risque.

Les directions générales d'entreprises ne nient plus l'importance de la cybersécurité en leur sein. Le risque cyber est devenu le deuxième plus redouté derrière la cessation d'activité et juste devant celui lié aux catastrophes naturelles, d'après le baromètre mondial d'Allianz 2018. Bien que craint et même si le manque de ressources, tant sur le plan financier que sur celui de la formation des équipes, peut expliquer cette passivité, les entreprises, même les plus florissantes, n'ont toutefois pas encore adopté toutes les mesures ou les bons réflexes pour anticiper et minimiser l'impact d'un cyber-risque.

Ne pas sous-estimer les enjeux, s'équiper en logiciels

Selon Jean-Philippe Gaulier, qui a anciennement occupé le poste de responsable de la sécurité des systèmes d'information (RSSI) au sein du groupe Orange, la stratégie de cybersecurité dans le cadre d'une société doit être encore renforcée par un rôle accru du directeur des systèmes d'information (DSI).

"Le patron de l'ANSSI [Agence Nationale de la Sécurité des Systèmes d'Information] estime que le budget pour assurer la sécurité des cyberattaques devrait représenter 10% du budget du DSI. Concernant l'un des groupes pour lequel je travaille et d'après mes statistiques, on est plutôt entre 0% et 3%", a affirmé Jean-Philippe Gaulier, actuellement directeur de l'innovation de Digital Security lors d'une table ronde mardi 4 décembre consacrée aux cyber-risques, organisée par l'Acsel, le hub de la transformation digitale.

D'après une enquête internationale de la société de cybersécurité Kapersky, publiée ce 5 décembre, 36% des RSSI ne parviendraient pas à débloquer les budgets nécessaires à la protection de l'entreprise. De fait, le budget des RSSI n'a cessé d'augmenter depuis ces dernières années. Une étude du cabinet Gartner avait confirmé une hausse des dépenses mondiales des entreprises de 7,6% en 2017 dans la sécurité, pour atteindre un montant total de 90 milliards de dollars. Une augmentation directement liée au nombre et à la puissance des cyberattaques. 2018 devrait également confirmer cette tendance d'après Gartner, qui s'attend à une croissance des achats de logiciels de DPL (Data Loss Prevention). A la fois parce que le risque-cyber ne décroît pas, et aussi en raison de l'entrée en vigueur, depuis le 25 mai 2018, du Règlement général sur la protection des données (RGPD). Cette législation européenne impose aux entreprises de garantir la sécurité des données de leurs employés, partenaires et clients, sous peine de recevoir une sanction qui peut représenter jusqu'à 4% de son chiffre d'affaires mondial.

Aujourd'hui, les experts considèrent qu'au moins quatre types d'outils sont nécessaires : des outils « en amont » (ceux qui vont empêcher qu'il y ait une attaque), des outils de détection (ceux qui repèrent les anomalies), des outils de remédiation ou d'analyse et des outils de correction. Mais certaines entreprises, notamment les PME et TPE, n'ont pas forcément les ressources pour pouvoir investir dans des solutions en interne, préférant alors se prémunir des cyberattaques par le biais de prestataires spécialisés ou de souscription de cyber-assurance. Un sondage OpinionWay pour le CESIN indiquait d'ailleurs que 40% des entreprises disaient en avoir déjà souscrit une en 2017.

Lire aussi : Le RGPD, une bénédiction pour les cybercriminels et les arnaqueurs

Lutter contre la négligeance, former les équipes

Pour autant, la cybersécurité n'est pas qu'une question de budget. Deloitte, l'un des quatre plus gros cabinets d'audit au monde, a été victime d'une cyberattaque, comme l'a révélé le Guardian en 2017, alors même que l'entreprise conseille ses clients sur les risques de piratage et de protection des données. Selon le quotidien britannique, un ou plusieurs hackers ont eu accès pendant au moins quatre mois aux courriels échangés entre les 244.0000 salariés de Deloitte. Les hackeurs seraient passés par un compte administrateur qui n'était protégé que par un simple mot de passe. La vérification en deux étapes n'était pas activée.

Une erreur "inadmissible de la part de l'employé qui a voulu se faciliter la vie", juge Jean-Philippe Gaulier, ajoutant que "la première des bonnes pratiques à adopter pour une entreprise est de nommer quelqu'un de compétent et qui s'intéresse réellement au métier".

Les cyber-assureurs souhaiteraient désormais adopter "une démarche différente et plus vertueuse", selon Laurence Clayton, directeur de la plateforme Cybex AssistanceIls cherchent à cartographier les risques inhérents aux systèmes d'information de leurs futurs clients, dans le but de les confronter aux procédures de prévention mises en place en interne (mots de passe, double identification, etc.) et de vérifier la cohérence entre les ressources allouées et les objectifs recherchés.

 "Il y a volonté d'éduquer les entreprises et inciter les entreprises à déployer chez elles des politiques de sensibilisation et de formation", a-t-il indiqué lors de la "Matinée Cyber Sécurité" organisée par l'Acsel.

Lire aussi : Cybersécurité : comment CybelAngel protège les entreprises de leur propre négligence

Un flou juridique qu'il faut régler

La croissance des risques cyber a aussi soulevé de nouvelles interrogations juridiques, qui contribuent à la passivité de certaines entreprises dans leur prise en compte de ce type de danger. D'après Eric Barbry, avocat associé chez Racine et président de la commission juridique de l'Acsel, le facteur juridique devrait compter tout autant que l'aspect technique :

"Il faut une véritable consolidation des systèmes et procédures existants. Si on ne travaille pas main dans la main, cela ne pourra pas fonctionner", a-t-il suggéré.

Alors que les entreprises sont de plus en plus amenées à travailler avec des professionnels de justice tels que des huissiers pour établir des constats d'incident, Rémi Chavaudret, huissier de justice associé au sein de la SCP Chavaudret Castalan, a rappelé l'absence de formalisme pour ce type de préjudice. « Le constat établi par les huissiers n'est pas normé, il n'y a rien qui régi la manière dont il doit être fait », déplore-t-il.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 06/12/2018 à 11:15 :
Avoir le moins recours possible a l'informatique impose a diminuer la quantité de donnée et la demande d'information administrative donc simplifier au maximum pour pouvoir retourner au papier!
a écrit le 05/12/2018 à 13:44 :
Ils se déconnectent et font sous-traiter toutes les opérations par une plateforme externe sans garder d’informations sensibles sur leurs clients et sur eux.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :