Avec un nombre de menaces qui ne cesse d’augmenter, le Gouvernement français fait de la cybersécurité une de ses priorités et multiplie les annonces et mises en place de chantiers, comme le dispositif « Alerte Cybersécurité » présenté le 20 juillet dernier qui permet d’accompagner près d’un million de destinataires, qui n’ont pas toujours les ressources ou les connaissances nécessaires en cas d’attaque.
Le but du dispositif est donc d’informer les TPE-PME dès qu’une menace est identifiée. Une notice est alors produite et est partagée avec tous les dirigeants d’entreprise qui pourront alors mieux se défendre. Cependant, en cas d’attaque, doit-on reporter la faute sur les équipes, les dirigeants ou les deux ? Une sensibilisation peut-elle limiter les risques en entreprise ?
Les systèmes d’information sont omniprésents dans notre quotidien. Dans la sphère professionnelle, nos systèmes sont interconnectés de bout en bout, que ce soit pour la gestion client, les échanges d’email ou encore le traitement des devis et factures en passant par la production industrielle. L’hétérogénéité et la complexité des systèmes rendent la sécurité informatique complexe à mettre en place et à maitriser. Pour réduire le gap, il est indispensable de comprendre et d’identifier les risques et menaces qui peuvent peser sur nos systèmes d’information. Et c’est là que la sensibilisation pourrait permettre d’améliorer la prise en comptes du risque de compromission.
Toutes les entreprises sont différentes, et leur stratégie va donc dépendre de leur taille, de leur activité, et par conséquent des données qu’elles détiennent. Une banque n’aura pas les mêmes besoins et donc pas la même stratégie qu’une PME indépendante par exemple. Les équipes dédiées au sujet et les ressources internes ne seront pas comparables.
Plusieurs éléments peuvent cependant être mise en place. L’employeur peut par exemple envoyer ses collaborateurs en formation sur la conservation des données ou mener des campagnes de phishing dans le but de les faire participer activement à la protection de l’entreprise, ou encore sur des formations plus spécialisées pour faire monter en compétence les personnes en charge du système d’information. Des procédures de bonnes pratiques peuvent également être mise en place. Une politique de sécurité pour définir les utilisations autorisées des équipements ou encore un plan de réponse sur incident pour réagir en cas d’attaque. De nombreux documents sont également disponible sur le site de L’ANSSI.
Les risques liés aux systèmes d’information sont de plus en plus présents, et même si de nombreuses entreprises en prennent aujourd’hui conscience, il reste encore du travail à parcourir pour assurer une protection suffisante sur tous les maillons de la chaine.
Voici les conseils de McAFee pour sensibiliser les entreprises à la cybersécurité :
- Equiper les salariés avec du matériel et des outils numériques sécurisés de bout en bout
- Sensibiliser et responsabiliser sur les enjeux de la cyber sécurité : utiliser les outils et applications approuvés, limiter l’usage des outils professionnels au domaine professionnel, verrouiller les paramètres de confidentialité et de sécurité, sécuriser les mots de passe, éviter les liens douteux…
- Mettre en place une authentification forte afin de réduire les risques de fuites de données – en ayant notamment une approche « Zero Trust »
