Les 10 règles de cybersécurité à mettre en place I CSB.SCHOOL

Risque de cyberattaque : les 10 règles numériques à mettre en place

Aujourd’hui, toutes les entreprises font face aux risques de cyberattaques. Multinationales, PME, TPE doivent acquérir les bonnes pratiques de sécurité en entreprise afin d’entrevoir un avenir dégagé. Découvrez 10 règles numériques à mettre en place pour prévenir les risques d’Internet.

Règle numérique n° 1 : adopter une politique de sécurité contre les risques de cyberattaques

Une entreprise doit apprendre à identifier, puis évaluer les menaces et motivations dont les cybercriminels pourraient faire preuve à son égard. Elle peut commander un audit, afin d’identifier ses éventuelles failles numériques et autres zones à risques qui pourraient éveiller l’intérêt des pirates informatiques.

Cette méthode communique de précieuses informations à l’entreprise et l’aide à lancer son chantier de sécurisation numérique. Dans l’idéal, la mise en place d’une analyse visant à identifier les actifs attractifs de l’entreprise aux yeux des cybercriminels doit se dérouler chaque année.

L’appétit des cybercriminels provient de quatre grandes motivations selon le Syntec Numérique, l’un des syndicats professionnels français de l’industrie numérique :

motivation idéologique ;
motivation financière ;
motivation d’espionnage ou de cyberterrorisme ;
motivation à but plus large (la cyberattaque n’est qu’une première étape pour faciliter d’autres actions cyber).

À chaque menace identifiée doit succéder la mise en œuvre de mesures visant à la désamorcer. Afin de rassurer et démontrer à ses actionnaires et clients qu’elle prend les devants, l’entreprise à tout intérêt à leur communiquer sa stratégie cyber.

Règle numérique n° 2 : nommer un responsable de la cybersécurité

Le développement rapide de la cybercriminalité envers les entreprises doit inciter chaque conseil d’administration ou comité directeur à créer un département dédié à la cybersécurité. À sa tête doit être nommé un responsable de la cybersécurité. Conscient des risques de cyberattaques, il développe et met en place les bonnes pratiques de cybersécurité dans l’ensemble de l’entreprise.

Le responsable de la cybersécurité doit bénéficier de certains pouvoirs afin d’asseoir sa stratégie de gouvernance cybersécurité. Ainsi, il appartient pleinement au comité directeur et participe aux réunions pour remonter les alertes à la direction générale. Il dispose de l’autorité pour demander un budget pluriannuel à son département. Puis, il l’utilise pour définir et maintenir la politique de sécurité numérique de l’entreprise. Selon la taille et les besoins de l’entreprise, il constitue une équipe dédiée à la sécurité informatique. Enfin, il établit son bilan annuel en matière de cybersécurité : risques déjoués, incidents, projets et demandes de budget.

Selon le Syntec Numérique, 77 % des entreprises déclarent avoir une forte dépendance au système d’information.

Règle numérique n° 3 : allouer un budget à la cybersécurité

Toute entreprise, de la PME à la multinationale, doit sanctuariser un budget dédié à la sécurité numérique. Selon l’activité de l’entreprise, cette part devrait représenter entre 5 et 20 % du budget SI. La répartition du budget tient également une grande importance. La majorité de celui-ci subvient aux risques identifiés, mais environ 25 % devraient être épargnés pour promptement réagir face aux menaces imprévues. De manière plus générale, chaque projet de l’entreprise devrait intégrer dans ses coûts celui de la sécurité informatique.

Enfin, une partie du budget doit également servir à sensibiliser les salariés aux risques de cyberattaques, avec la mise en place de stages et formations.

Règle numérique n° 4 : sensibiliser les collaborateurs aux risques d’Internet

Il suffit d’une seule erreur humaine, d’une seule faille, et les cybercriminels entrent dans le système informatique d’une entreprise. Pour éviter des conséquences dramatiques (vol de données, ransomware, phishing, etc.), les salariés doivent participer à la lutte contre les cyberattaques.

L’inscription des collaborateurs à des stages et formations dispensées par une école de cybersécurité représente la meilleure solution de sensibilisation. L’innovation des pirates informatiques étant croissante et constante, cette sensibilisation doit avoir lieu régulièrement. Sans oublier la mise en place d’une charte informatique qui précise aux salariés les bonnes pratiques de cybersécurité.

Règle numérique n° 5 : contrôler les informations sur l’entreprise

Les fraudeurs nécessitent un socle d’informations sensibles afin de crédibiliser leurs tentatives d’attaque. En effet, un e-mail frauduleux doit ressembler en tous points à un véritable message pour convaincre un collaborateur d’effectuer un virement, de cliquer sur une bannière ou de confier des informations sensibles.

Ces informations, les pirates informatiques les trouvent sur Internet (annonces légales, site de l’entreprise, réseaux sociaux) ou les soutirent auprès des collaborateurs par le biais d’une arnaque. Les entreprises ont tout intérêt à établir une veille constante sur la diffusion des données les concernant. Cela passe par un contrôle des réseaux sociaux et la recherche d’informations sur la société via Google. Une sensibilisation des salariés s’avère également conseillée pour les prévenir des multiples risques. En cas de divulgation d’information sensible, l’entreprise doit contacter les collaborateurs ou les sites concernés pour les supprimer. Une aide de la Commission nationale de l’informatique et des libertés (CNIL) peut faire valoir ses droits.

Règle numérique n° 6 : sécuriser les systèmes informatiques

Un mot de passe pas assez sécurisé suffit aux fraudeurs pour accéder au système informatique d’une entreprise. Voilà pourquoi la sécurisation des infrastructures informatiques doit figurer parmi les priorités en matière de cybersécurité en entreprise. Outre le mot de passe, le système informatique doit bénéficier d’un antivirus, d’un VPN ou encore d’un pare-feu personnel. Certaines fonctionnalités comme ActiveX et JavaScript représentent de grands risques de sécurité et méritent d’être désactivées. Les systèmes, eux, doivent être minutieusement mis à jour. Par ailleurs, le département cybersécurité doit effectuer des sauvegardes régulières des données sensibles, afin de répondre à une tentative de ransomware.

Règle numérique n° 7 : la sécurité au cœur de chaque projet SI

Les évolutions technologiques remettent régulièrement en cause les approches de sécurité. De nouveaux objets connectés apparaissent sur le marché, les réseaux sociaux pullulent, de même que les applications mobiles. La sécurité doit donc se placer au cœur des projets qui nécessitent un système d’information.

L’analyse des risques et impacts, la mise en place de mesures pour réduire les risques, les plans d’action en cas d’attaque font partie intégrante de chaque projet. De même que le budget alloué à toutes ses prérogatives. Le département cybersécurité mène également des tests de vulnérabilité à plus grande échelle et veille à intégrer de nouveaux mécanismes de sécurité plus performants.

Règle numérique n° 8 : privilégier les prestataires de confiance

La cybersécurité s’avère indispensable au sein d’une entreprise. Toutefois, il convient de veiller aux agissements à l’extérieur de la société. Pour renforcer les mesures déjà mises en place, l’équipe de cybersécurité doit donner son avis quant au choix des prestataires SI. Ceux-ci doivent garantir la sécurité de leurs données et infrastructures. Pour aider les entreprises, l’Agence nationale de la sécurité des systèmes d’information (Anssi) délivre différents labels aux prestataires ayant fait leurs preuves.

Par ailleurs, « France Cybersecurity » attribue chaque année un label aux produits, services et conseils liés à la cybersécurité. Cette certification s’appuie sur plusieurs critères, comme l’origine française des produits, leur qualité et leur performance dans le domaine de la sécurité informatique.

Règle numérique n° 9 : effectuer des contrôles fréquents

Les protocoles de sécurité doivent coller au plus près des risques de cyberattaques. Voilà pourquoi un audit annuel doit vérifier la conformité des mesures et process actionnés par la politique de sécurité informatique. Il doit être accompagné de contrôles plus réguliers sur les systèmes les plus susceptibles de présenter des failles sécuritaires. À cela s’ajoute une veille quotidienne sur les mises à jour de sécurité et le niveau de vigilance des collaborateurs.

Règle numérique n° 10 : garder une vigilance accrue

La dépendance de nombreuses entreprises à leur système informatique les force à garder une vigilance de tous les instants. À ce niveau, le doute prévaut toujours. Au moindre e-mail suspect, même envoyé par le président ou le supérieur hiérarchique, il convient de ne pas l’ouvrir. Mieux vaut demander une confirmation par téléphone plutôt que cliquer sur un lien malveillant. Cette vigilance de tous s’acquiert par le biais d’une formation à la cybersécurité et d’une charte informatique efficace.