Cybersécurité : préparer son entreprise quand on n’est pas un spécialiste des T.I.

Y a-t-il vraiment une menace informatique?

Les spécialistes en cybersécurité sont d’accord sur (au moins) un point : la question n’est pas de savoir SI votre compagnie va être attaquée, mais QUAND.

Pour information :

• Le nombre d’incidents a augmenté de +40% dans les deux dernières années.
• 67% des entreprises ont connu plus de quarante incidents dans l’année
• Au niveau mondial, les investissements en cybersécurité ont progressé de 22%

Oui, c’est une menace réelle et sérieuse.

Quels sont les coûts d’une attaque informatique?

Contenir un incident interne peut prendre plusieurs mois. Sans parler des éventuelles baisses de productivité, cela reste des coûts jour/homme significatifs.

Les coûts associés à une attaque varient selon la taille de l’entreprise.
Chez les très grandes entreprises (+7.500 pers.) ils ont monté à +22 millions de dollars. D’après Desjardins eux-mêmes, la fuite de données qu’ils ont subie, leur a coûté 53 millions USD. Une paille.
Chez les grandes entreprises (-500 pers.) on parle de 8 millions. Toutes ne peuvent pas payer.

Et là, vous vous dites, mon organisation est une PME, voire une TPE, c’est un petit poisson qui n’intéressera aucun pirate informatique. Mauvais réflexe : pour les pirates tout est bon. C’est pourquoi ils lancent souvent des opérations de grande envergure, qui visent à ramasser tout ce qui traine. Sur le volume, la somme des bénéfices réalisés est appréciable.

La bonne question à se poser est : quelles seraient les conséquences d’une attaque sur mon activité, si modeste soit-elle ?

Le prix en dollars

D’abord il y a les coûts purement financiers induits par un ralentissement de l’activité. Si un pirate vous bloque, ne serait-ce que quelques heures ou quelques jours, période pendant laquelle vous ne pouvez pas travailler… cela représente un manque à gagner conséquent. Parmi les autres frais à prendre en compte il y a les éventuelles amendes à payer si vous n’êtes pas en conformité avec la règlementation (attention à la loi 64 qui s’en vient), ou vos primes d’assurance qui vont grimper si votre assureur estime que vous n’êtes pas assez protégé (ou si vous avez déjà subi des dommages suite à une attaque), ou encore les frais juridiques si vous engagez des poursuites ou que vous avez besoin d’aide pour faire valoir vos droits.

Le prix de la confiance

Ensuite il y a les coûts « ricochets » : quand l’attaque sur votre entreprise sera connue de vos clients, partenaires, fournisseurs… cela peut ternir la relation de confiance et d’affaires qu’ils ont avec votre organisation. Car la première question qu’ils vont se poser sera de savoir si votre manque de sécurité les a mis à risque. En clair : est-ce toujours une bonne idée de continuer de travailler avec vous ? La réduction ou la perte de contrats par voie de conséquence, cela se chiffre aussi.

Le prix de la survie

Enfin, il y a le coût technique concurrentiel : une attaque ne vise pas toujours à détruire ou bloquer vos données. Elle peut permettre à un concurrent de récupérer des données sur un processus industriel ou les composants d’un produit que votre compagnie a conçu au fil de longues années de recherche et développement (et des investissements qui vont avec…). Pas de rançongiciel ici, ni de pertes de données et pourtant le résultat est pire. L’entreprise qui a discrètement siphonné vos données va pouvoir monter une offre commerciale identique à la vôtre, à moindre coûts de développement et à une fraction du prix de vente. C’est, ni plus ni moins, la faillite annoncée de votre entreprise.

En moyenne, en 2020, les dépenses en cybersécurité représentaient 11 à 14% du budget informatique.

Tout ceci ne vise qu’à souligner l’importance pour les entreprises, quelle que soit leur taille, de se préparer, selon leurs besoins et selon leurs budgets. Comme ailleurs, investir pour prévenir coûte bien moins cher que dépenser pour réparer. D’autant que les protections sont parfois simples et abordables. Avant d’aborder les options possibles en la matière, commençons par voir si votre entreprise est « mure ».

Quels sont les signes précurseurs qu’une entreprise est mal protégée contre le risque informatique?

Si vous êtes gestionnaire ou en position d’influence sur le sujet, vous pouvez établir un premier diagnostic en posant quelques questions fort simples :

• Les employés savent-ils quoi faire, à qui se référer s’ils détectent une activité suspecte ?
• Les employés ont-ils une idée des gestes élémentaires à faire (ou ne pas faire) pour éviter un incident de sécurité (envoi de documents non chiffrés, utilisation d’application, d’add-on non validés par les T.I., etc.) ? Sont-ils régulièrement formés ?
• Y a-t-il une politique de sécurité en place ? Si oui, les employés la suivent-elle ? ou l’ignorent-ils car ils la trouvent trop contraignante ?
• L’équipe TI est-elle débordée (ou sur le point de l’être) ? Le taux de roulement y est-il élevé ? Les enjeux de sécurité sont-ils haut placés (ou pas) dans le backlog ? Les fuites de données sont-elles en augmentation ? Le budget sécurité suit-il une courbe inflationniste qui semble hors de contrôle ?
• L’entreprise a-t-elle grandi de façon significative récemment ? Les équipes TI ont-elles grandi de la même façon, ou bien les effectifs sont restés inchangés alors que les besoins ont augmenté ?
• Lorsque les TI mettent en place des changements de sécurité, le reste du personnel est-il mis au courant ? Ou bien y a-t-il eu des situations contre-productives où le personnel ne pouvait plus opérer efficacement, faute d’avoir été informé des nouveaux processus ?

Ce ne sont là que quelques-unes des questions dont les réponses peuvent aider à vous faire une idée du niveau de préparation de votre organisation et, par conséquent, du risque d’attaque.

Quelles sont les pistes de prévention contre une cyberattaque?

Plusieurs actions sont possibles pour limiter les risques d’attaque.

D’abord, si possible, avoir une équipe et un budget dédié. Faute d’une équipe interne, au moins prévoir un budget pour faire appel à une firme externe spécialisée, qui sera en mesure de :

• Faire un audit poussé
• Proposer des recommandations en conséquence
• Implanter les solutions envisagées
• Assurer un suivi

Ensuite, former les gens. Pas besoin de transformer chaque employé en expert informatique, par contre il est possible de les former sur quelques bonnes pratiques à adopter. La cybersécurité est la responsabilité des TI, mais l’affaire de tous. Pour ce faire, partager des articles pertinents sur le sujet peut aider, comme la liste annuelle des mots de passe les plus répandus (et donc à éviter). Il est aussi possible de tester le niveau de réponse des employés avec des attaques de type phishing simulées. Cela permet d’identifier les populations à risque et de prendre les mesures correctives adaptées.

S’assurer que l’amélioration continue est en place (pour les humains comme pour les machines), afin que les uns et les autres restent à jour avec l’évolution des attaques.

Avoir en place des mesures réactives et des mesures préventives.
Par mesures réactives on entend des mesures en place qui réagiront en cas d’attaque (pare-feu, etc.).
Par mesures pro-actives on entend des tests d’intrusion avec le concours de pirates éthiques (par exemple). L’avantage est l’anticipation, qui permet de limiter la casse, ou plutôt l’inactivité ou son ralentissement le Jour J. Ces tests de sécurité favorisent aussi une reprise plus rapide après une vraie attaque.

Établir un plan de continuité d’activité (soit un plan de reprise après sinistre et un plan d’intervention en cas d’incident) : il aide les entreprises, quelle que soit leur taille, à déterminer comment détecter les violations de sécurité, y répondre, puis les étapes à suivre pour récupérer ce qui a été perdu.

Mettre en place une gestion serrée et sérieuse des mots de passe (uniques, renouvelés, forts…), établir un plan de gestion des mises à jour clair et strict. Et plus généralement, avoir un ensemble de politiques claires pour les employés et les fournisseurs, adaptées à votre entreprise. Elles ne doivent être ni trop nombreuses, ni trop compliquées, mais suffisamment strictes : politique d'utilisation acceptable, politique de confidentialité, politique de gouvernance des données, politique des médias sociaux, BYOD (Bring Your Own Device, de plus en plus répandu avec les organisations qui encouragent l’utilisation des cellulaires personnels par exemple), etc.

Disposer de sauvegardes des données sur des supports indépendants de tout accès réseau.

Privilégier des systèmes d’exploitation stables et résistants (Linux…).

Lors de navigation, encourager l’usage d’un VPN et avoir des bloqueurs de fenêtres popup/surgissantes dans les fureteurs. En particulier sur les appareils mobiles. 

Disposer d’un logiciel de protection contre les virus.

Cette liste n’est pas exhaustive…

Conclusion

Les incidents informatiques font partie du paysage économique, mais elles ne doivent pas être une fatalité inévitable. Quand elles ont lieu, leur origine vient, généralement, de 4 pôles sur lesquels il est possible d’agir.

1. Des employés mal informés ou mal formés qui font preuve de négligence (56% des cas).
2. L’absence de politiques de sécurité dans l’entreprise
3. Une politique présente mais non suivie : retards dans les mises à jour ou l’apport de correctifs.
4. Des employés malveillants (25% des cas)

Pour chacun de ces pôles, des contre-mesures existent.

Si la sécurité à 100 % ne peut pas être garantie, il est possible de se préparer adéquatement pour le jour où l'incident se produit… et en limiter l’impact. Cette préparation c’est souvent la différence entre une entreprise qui survit et une qui ferme.

Pour en savoir plus :

Source Proofpoint/Institut Ponemon

Source – Secur01

Voir toutes les formations en Surveillance et sécurité

Photo by olieman.eth on Unsplash