(Re)prendre en main sa cybersécurité
Beaucoup d’organisations, par différents facteurs, mettent de côté, ou ne font que le strict minimum leur protection cyber :
- par manque de moyen,
- par d’autres priorités,
- par manque de connaissances et de compétences disponibles,
- par sentiment d’être “moins exposés”.
Pourquoi les enjeux sont très importants ?
Toute organisation peut être la cible de cyber malveillance. Chaque année, plus de la moitié des organisations en sont d’ailleurs la cible.
Les menaces sont de plus en plus larges, complexes; et les activités, de plus en plus exposées.
Des actifs et activités métier stratégiques à protéger
- La continuité de production des produits et services : beaucoup d’organisations, dont usines, doivent arrêter, pendant une longue période, leur production suite à une cyber attaque.
- Des données sensibles : la grande majorité des entreprises gèrent souvent des données sensibles telles que données de clients, des données de fournisseurs, des actifs de propriété intellectuelle, des plans de production, des schémas techniques,... La perte ou le vol de ces données peut entraîner des conséquences financières et juridiques très importantes.
- La Conformité réglementaire : les organisation sont soumises à des normes et des réglementations de cybersécurité de plus en plus strictes, en particulier dans les secteurs à risque élevé tels que l’énergie, la santé et les transports. La non-conformité peut entraîner de lourdes sanctions financières.
- La réputation et confiance : les clients, prospects, investisseurs et partenaires commerciaux sont de plus en plus attentifs à la manière dont les entreprises gèrent leur cybersécurité. Une faille de sécurité majeure peut compromettre la réputation d’une entreprise et sa capacité à maintenir la confiance de ses parties prenantes.
- Les actifs physiques : les usines et établissements de soin, notamment, ont souvent des actifs tels que des machines et des équipements industriels coûteux et critiques pour leur production. Une cyberattaque réussie peut compromettre ces actifs et causer des dommages physiques importants.
Une démarche de cybersécurité peut être initiée à moindre frais et avec des bénéfices importants
Avec quelques étapes simples, les organisations peuvent réduire leur exposition aux risques cyber.
Évaluer les pratiques par rapports aux référentiels et les risques
Des plateformes en self-service, telles E Value it, permettent de :
- Diagnostiquer rapidement, régulièrement et simplement de nombreux points d’attention, à différents niveaux, par rapport à des référentiels (exemples : guide d’hygiène , Politique de Sécurité des Systèmes d’Information de l’État (PSSIE), dont une très large majorité des points sont également applicables dans une entreprise, de l’ANSSI, ISO 27001,…)
- Identifier des risques de cybersécurité, dont vulnérabilités et menaces potentielles,
- Mettre en place des actions de mitigation adéquates.
Sensibiliser tous les acteurs du Système d’Information
La sensibilisation des collaborateurs et, de manière plus large, de l’ensemble des utilisateurs du Système d’Information (SI) est l’un des éléments clés d’une stratégie de cybersécurité efficace.
Les points à présenter sont généralement les suivants :
- Les enjeux de cybersécurité et de la démarche,
- L’adoption des pratiques de sécurité de base, telles que la gestion des mots de passe,
- La protection des données sensibles,
- La protection et la mise à jour des systèmes individuels : ordinateur, smartphone, tablette,
- Des bonnes pratiques,
- Une sensibilisation aux menaces de sécurité de différentes natures, pour développer la vigilance,
- Comment alerter en cas de risque ou d’incident.
Il est également important de former les acteurs clés du Système d’Information à reconnaître les menaces avancées de sécurité et à sécuriser les infrastructures informatiques de l’organisation au travers de projets techniques (réseaux, durcissement de paramétrage,…).
Renforcer la sécurité des locaux
En lien avec les moyens généraux, des actions simples permettent de renforcer la sécurité physique des réseaux et équipements, ainsi que la confidentialité des informations; quelques exemples :
- restreindre l’accès aux salles et baies techniques,
- limiter la visibilité des écrans par le public dans les espaces d’accueil,
- sécurité antivol des ordinateurs.
Structurer la démarche
2 axes sont particulièrement importants pour structurer une démarche de cybersécurité :
- s’appuyer sur un ou plusieurs référentiel(s) de bonnes pratiques pertinents, qui va(vont) guider, à partir des résultats d’évaluation et des enjeux, la formalisation de la politique de sécurité et la première feuille de route.
- la mise en place d’une organisation allouée à la cybersécurité, avec des responsabilités associées.
Bénéficier de ressources en ligne
- L’Union Européenne : https://www.enisa.europa.eu, dont la directive NIS,
- En France, L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) fournit de précieux guides et bonnes pratiques de sécurité du SI et de nombreux guides adaptés à un éventail de situations et de périmètres à protéger,
- L’AFNOR publie également des ressources utiles pour renforcer la protection cyber : https://www.afnor.org/numerique/cybersecurite/
- https://www.usine-digitale.fr/cybersecurite/