La cybersécurité a tendance à être une priorité plus importante dans les secteurs de la finance et de la santé qui gèrent régulièrement des informations confidentielles, mais presque toutes les entreprises bénéficieraient de pratiques de sécurité appropriées, dont certaines peuvent être uniques en fonction du type et de la taille de l'entreprise. Quoi qu'il en soit, toute stratégie de sécurité doit commencer par le respect des normes industrielles, la mise à jour des technologies et la formation des collaborateurs. Il s'agit là des pratiques standard, et chaque organisation devrait idéalement aller au-delà de ces mesures et utiliser d'autres approches proactives.

Suivre les normes industrielles

Des experts de plusieurs secteurs travaillent dur pour élaborer et mettre à jour fréquemment des normes/frameworks de cybersécurité telles que l’ISO27001 ou le NIST. Dans la plupart des cas, ces normes ne sont pas exigées par la loi, mais elles constituent un excellent cadre de départ pour mettre en place une cyberdéfense efficace. Avec l’adoption de la directive NIS2, l’Union européenne se dirige lentement mais sûrement vers des schémas de certification souverains en matière de cybersécurité.

Il est également important de noter que, bien qu'elles ne soient souvent pas exigées par la loi, le non-respect des normes industrielles peut entraîner une responsabilité supplémentaire pour une entreprise en cas de violation des données. Le choix de la norme à laquelle adhérer demandera un certain discernement et dépendra du secteur d'activité de l'entreprise, mais il existe une abondante littérature pour aider les organisations à choisir et à suivre ces normes.

Chez IRISnet, nous avons choisi l’ISO27001

Nombreux sont ceux qui sont découragés de se lancer dans l’implémentation de ces normes du fait du processus d'audit coûteux, fastidieux et souvent long requis pour obtenir une certification de conformité. Cependant, les entreprises n'ont pas besoin de cette certification pour appliquer ces normes. L'application de ces lignes directrices, ou même le fait de s'en approcher, constitue une amélioration considérable par rapport à l'improvisation en matière de procédures de sécurité.

Identifiez vos « joyaux de la couronne », évaluer vos risques et prenez les actions nécessaires pour les diminuer au niveau qui convient.

Mettez votre technologie à jour

Les vulnérabilités sont inévitables dans la technologie. Avec des dizaines de millions de lignes de code dans un seul système d'exploitation, la création d'un système véritablement imperméable est une tâche impossible.

Il est possible de réduire le risque de vulnérabilité lié au code en maintenant les systèmes et les logiciels à jour. Bien que les mises à jour comprennent souvent de nouvelles fonctionnalités et des corrections de bogues, elles contiennent surtout des mises à jour visant à corriger les failles de sécurité. Même si l'application de cette mise à jour de Windows au milieu de la journée de travail du mardi peut être gênante, il est impératif de l'effectuer immédiatement. En outre, il est tout aussi important de maintenir à jour les programmes individuels, en particulier les logiciels anti-malware.

Contrôlez si certains anciens systèmes, non mis à jour depuis une éternité, ne sont pas ceux qui traitent d'énormes quantités de données sensibles ! Les systèmes « legacy » non supportés constituent une menace sérieuse car ils ne reçoivent plus de mises à jour de sécurité et peuvent ne pas être compatibles avec les technologies de sécurité modernes. Il est compréhensible que les entreprises veuillent maximiser la durée de vie de leurs systèmes et éviter des améliorations et des migrations coûteuses, mais ces mises à niveau sont inévitables, et il est donc préférable de les effectuer rapidement. Dans le cas contraire, les entreprises s'exposent inutilement à des pertes bien plus importantes que le coût de remplacement de l'ancien système.

Tenir compte du facteur humain

La composante humaine de la cybersécurité est la plus importante, mais aussi la plus souvent négligée. Le terme "cyber" dans cybersécurité suggère qu'il s'agit d'un problème et d'une solution exclusivement centrés sur la technologie, mais aucun cryptage ou antivirus ne peut protéger un système contre des employés qui ne respectent pas les procédures de sécurité, que ce soit intentionnellement ou non.

Une étude récente affirme qu'en 2021, 86 % des organisations ont un collaborateur qui a fait l'expérience d'une tentative de phishing où un acteur malveillant a utilisé l'ingénierie sociale pour tromper les destinataires et leur faire révéler des informations sensibles ; les identifiants de connexion au travail ou aux services financiers sont des cibles fréquentes des tentatives de phishing. Malheureusement, le phishing est souvent couronné de succès, et la sophistication de ces attaques ne cesse d'augmenter. Apprendre aux collaborateurs à détecter les attaques d'ingénierie sociale et à y répondre peut réduire considérablement les dangers de ce vecteur de menace.

De même, consacrer du temps à la mise en place de procédures de sécurité appropriées et à la sensibilisation des employés à leur importance peut avoir un impact positif. Cela est d'autant plus vrai que le travail à distance est devenu une pratique courante. Des enquêtes indiquent que la moitié du personnel a accédé de manière inappropriée à des informations professionnelles sur des ordinateurs personnels, qui ne sont probablement pas configurés avec une protection adéquate au niveau de l'entreprise. D'autres outils destinés aux collaborateurs, tels que l'authentification multifactorielle et le changement régulier des mots de passe, sont également des moyens simples - et efficaces - de réduire les risques de sécurité.

Enfin, il est essentiel que les entreprises ne supposent pas que les violations de données sont impossibles simplement parce que des précautions appropriées sont en place. Malheureusement, de nombreuses organisations adoptent une approche laxiste de la cybersécurité une fois qu'elles se sont conformées aux normes du secteur, mais cette attitude passive est en partie responsable du fait qu'il faut en moyenne 287 jours pour détecter une violation de données. L'utilisation de méthodes proactives telles que la surveillance des violations de données, la surveillance des informations d'identification volées et le renseignement sur les menaces renforcera considérablement les capacités de défense d'une entreprise. En outre, l'intégration d'un plan d'intervention avec ces outils pour différents types d'événements de sécurité permettra de rationaliser le processus d'atténuation des attaques ou des violations. De plus, une stratégie de sauvegarde planifiée peut éviter leurs effets néfastes. Pensez notamment à garder des copies de vos données. Adoptez une stratégie de backups fortes « 3-2-1 ». La règle de sauvegarde 3-2-1 est une stratégie de backup couramment utilisée qui permet d'augmenter le nombre de sauvegardes que vous conservez et de diversifier les lieux où elles sont stockées. La règle stipule que vous devez avoir au moins trois copies de vos données ; deux des sauvegardes doivent être stockées sur des types de supports différents, et au moins une sauvegarde doit être stockée hors site ou sur le cloud.

L'objectif de la règle de sauvegarde 3-2-1 est de garantir que si une sauvegarde échoue ou est l’objet d’une attaque par cryptolocker par exemple, vous avez d'autres sauvegardes en place pour protéger vos données essentielles.

La cybersécurité est d'une complexité sans limites, mais l'application diligente de plusieurs principes fondamentaux peut réduire considérablement le risque de violation des données en isolant les principales voies d'accès aux cyberattaques. Le respect des normes industrielles, la mise à jour des systèmes et la formation adéquate des employés sont des méthodes puissantes pour tenir les cyberattaques à distance.

N'adoptez jamais une approche passive de la sécurité et ne présumez pas de votre invulnérabilité. La cybersécurité s'améliore, tout comme les outils utilisés par les cybercriminels. Il est donc essentiel que votre entreprise détecte les violations et y réponde à l'aide de solutions de surveillance et de plans d'intervention appropriés.