Comment anticiper la cybernétique dans son entreprise

0

La plupart d’entre nous connaissent le vieil adage, « Rien ne sert de courir, il faut partir à point. »  Cette idée prend tout son sens dans le contexte de la protection d’une entreprise contre les cyberattaques, l’une des plus grandes préoccupations des sociétés du monde entier. En supposant que votre organisation sera ciblée dans un futur proche plutôt que lointain, puis en mettant en place un plan pour faire face à cette attaque, vous vous assurez non seulement de minimiser le risque d’être victime, mais aussi de déployer une réponse plus rapide et ciblée si le pire devait se produire.

Toutefois, certains cadres supérieurs pensent que la cybersécurité ne vise qu’à rendre un système informatique infranchissable aux attaques de piratage, rien de plus. En réalité, aucun système n’est entièrement sûr, et la cybersécurité doit donc aussi s’axer sur la gestion des risques et leur maintien à un niveau acceptable.

Le fait est que si une entreprise est victime d’une cyberattaque, c’est souvent le PDG qui en paie le prix. Mais ce n’est pas une fatalité. Dans ce blog, Tom Scholtz, vice-président de la recherche et ancien de Gartner, schématise un autre résultat possible. Son point de vue est le suivant : « Bien que l’on ne puisse pas contrôler l’occurrence d’une attaque, il est possible de contrôler le degré de préparation de votre organisation et donc sa capacité à réagir et à résister à la tempête. »

Voici donc un certain nombre de questions qu’un PDG doit poser pour s’assurer que son entreprise est prête pour la cybernétique :

Quel est le référentiel de gestion des risques que nous utilisons ?

Il existe plusieurs référentiels de gestion des risques permettant d’analyser et d’évaluer votre profil de risque et vos approches en matière de cybersécurité. Vous pouvez par exemple utiliser les directives du NSCS que vous trouverez ici. Il s’agit d’un ensemble de pratiques d’excellence qui aident les organisations à détecter les cyberattaques, à y réagir et à les empêcher. Elles peuvent aussi vous aider à vous remettre d’une attaque. D’autres organisations, comme la Cloud Security Alliance ou l’ISACA, proposent aussi des directives.

Que mettons-nous actuellement en œuvre pour empêcher les cyberattaques ?

Quel est notre référentiel de sécurité ? Quelles protections, politiques et procédures sont déjà en place ? Cela aidera à identifier les mesures qui restent à prendre et les contrôles qui restent à mettre en place.   Il pourrait également être intéressant d’envisager de mettre en œuvre une stratégie de défense en profondeur utilisant plusieurs couches de défense et concernant l’ensemble du système informatique. Cela inclut le chevauchement des processus de sécurité, tels que l’utilisation d’un système de prévention des intrusions, d’un pare-feu et d’un logiciel antivirus.

Le risque de cybersécurité est-il inclus dans notre gestion des risques d’entreprise ?

Toute entreprise doit gérer ses risques et, idéalement, la cybersécurité doit faire partie de ce processus. La cybersécurité doit être mesurée de la même manière que les autres risques commerciaux. La gestion du risque de cybersécurité ne doit pas être une question de retour sur investissement. Demandez-vous plutôt ce que vous risquez de perdre si les mesures de cybersécurité ne sont pas mises en œuvre correctement. Par exemple, Hilton a reçu une amende de 525 000 £ pour une fuite de données. Mais depuis les nouvelles lois de conformité du RGPD, cette amende pourrait dépasser les 323 millions de £ — sans tenir compte des dommages à la réputation et des autres coûts.

Avons-nous formé nos employés à prendre en compte la cybersécurité ?

La plupart des fuites de données ont une cause humaine. Leur cause peut être d’origine malveillante, avec par exemple un employé mécontent qui vole des fichiers, ou involontaire, comme un employé qui a oublié son téléphone au bar du quartier. Pour atténuer ce risque, appelé « menace interne », les entreprises doivent dédier du temps à l’information de leurs employés sur les différents risques liés à la cybersécurité. Par exemple, en les formant à reconnaître les e-mails d’hameçonnage et autres communications criminelles.

Avons-nous un plan d’intervention robuste en cas d’incident ?

Un plan d’intervention robuste en cas d’incident doit inclure tous les scénarios d’attaque possibles, aussi invraisemblables soient-ils. Il doit inclure les cyberattaques courantes et une gamme de réactions possibles à chaque situation. Il doit également inclure des directives sur des points comme les situations nécessitant d’alerter la CNIL (Commission nationale de l’informatique et des libertés), les moyens d’informer les employés, les clients et les partenaires de la fuite de données, les procédures visant à limiter les dommages, etc.  Et comme de nouvelles menaces peuvent apparaître à tout moment, le plan doit être testé et mis à jour en continu.

Dans quelle mesure sommes-nous protégés des nouvelles cybermenaces ?

Il est essentiel d’évaluer la capacité de votre entreprise à se protéger contre les nouvelles vulnérabilités et les nouveaux exploits au fur et à mesure de leur apparition. Cela inclut la mise en œuvre d’un programme de surveillance des menaces qui permet de garder l’œil sur les nouvelles menaces de cybersécurité, au fur et à mesure de leur apparition.

En fin de compte, dans le paysage numérique actuel, les cyberattaques sont presque inévitables. Toutefois, la perte de données et de réputation qui accompagne souvent ces attaques peut être évitée. Grâce à la préparation d’une cyberattaque et à la mise en œuvre des procédures et protections adéquates, un PDG peut s’assurer que son entreprise réagisse rapidement à une attaque, atténue les dommages potentiels, et, espérons-le, lui permette de conserver son travail !

About Author

Jan van Vliet

Vice-Président et Directeur Général EMEA de Digital Guardian

Leave A Reply