Certaines entreprises accordent trop peu d'attention à leurs vulnérabilités. D'autres ne se jugent pas assez importantes pour apparaître sur les radars des cybercriminels. “À tort: chaque entreprise de chaque secteur, petite ou grande, est une cible potentielle pour les hackers”, prévient Christophe Crous (Proximus).
Les entreprises investissent spécifiquement dans la transformation numérique parce que celle-ci comporte de nombreux avantages pour leurs employés, leurs clients et leur productivité. Dans ce cadre, elles font appel à de nouveaux modèles commerciaux, ainsi qu’à des processus et technologies intelligents. En général, cependant, elles ont trop peu conscience qu’en agissant ainsi, elles attirent l'attention de cybercriminels toujours plus créatifs. Les statistiques sont formelles: en Belgique, chaque entreprise est confrontée au moins une fois par an à une tentative de cyberattaque. Grâce à des exercices de réflexion et à des interventions ciblées, les entreprises peuvent accroître leur sécurité numérique.
Comment une entreprise se lance-t-elle dans une stratégie de cybersécurité?
Christophe Crous (Head of Security & Service Intelligence chez Proximus): “Tout commence par la compréhension de ses objectifs en matière de cybersécurité. Certaines entreprises souhaitent renforcer leur sentiment de sécurité en optimisant leur cybersécurité. D'autres travaillent sur la visibilité: elles désirent savoir précisément ce qui se passe dans le réseau de l'entreprise, et identifier les irrégularités éventuelles. D'autres encore sont plus préoccupées par la sécurité de leurs informations. Doivent se conformer à des réglementations telles que le RGPD. Ou veulent s'assurer qu'elles pourront poursuivre leurs activités commerciales en cas de cyberattaque.”
Une fois ces objectifs principaux définis, quelle est l’étape suivante?
Christophe Crous: “Un programme de cybersécurité sur mesure est mis au point pour y répondre de manière optimale. Les aspects technologiques ne sont pas les seuls considérés, d’ailleurs: le travail concerne aussi les procédures, les employés et les campagnes de sensibilisation. De façon générale, un programme de cybersécurité repose sur quatre piliers: prévoir, prévenir, détecter et réagir.”
En quoi consistent ces quatre piliers exactement?
Christophe Crous: “Nous commençons par jauger la qualité de votre protection et identifier les cybermenaces potentielles. Grâce à une analyse de votre entreprise qui détecte les forces et faiblesses de votre sécurité informatique, par exemple. Ensuite, l'infrastructure informatique peut être améliorée afin d’anticiper et de contrer autant que possible les cybermenaces. Si, malgré tous ces efforts, une cyberattaque réussit, les entreprises doivent être en mesure d'identifier le problème et de limiter les dégâts le plus rapidement possible. Enfin, un plan clair doit être établi, qui indique qui fera quoi en cas de cyberattaque, comment en limiter l'impact, comment et par qui communiquer, etc.”
“Vous pouvez simuler une attaque avec un ransomware et déterminer la réaction de chacun, individuellement comme au sein d’une équipe. C’est une manière de tenir tout le monde en alerte.”
Faut-il régulièrement tester ce plan étape par étape dans la pratique, à l’instar des exercices d'incendie dans un bâtiment?
Christophe Crous: “C’est l’une de nos recommandations, en effet. Il existe des solutions spécifiques pour rationaliser ce processus. Simuler une attaque avec un ransomware, notamment. Vous pouvez ainsi déterminer la réaction de chacun, individuellement comme au sein d’une équipe. Nous utilisons nous-mêmes ces solutions chez Proximus, et nous les proposons à nos clients. Une formation pratique telle que celle-ci permet de garder tout le monde en alerte au sein de l'entreprise.”
La stratégie de cybersécurité peut-elle être un jour considérée comme finalisée, ou doit-elle être revue régulièrement et ajustée si nécessaire?
Christophe Crous: “Elle n'est jamais prête à 100%. De nouvelles techniques de cyberattaque, de nouvelles failles apparaissent en permanence. De petites adaptations offrent déjà de corriger le tir. L'aspect le plus important d’une stratégie de cybersécurité est son développement, d'une feuille blanche à un plan bien élaboré. Dès qu'une entreprise a atteint un niveau de maturité robuste, la maintenance revient généralement à assurer les mises à jour et à accompagner son évolution.”
Quels sont les aspects que les entreprises doivent prendre en considération lors du déploiement de leur stratégie de cybersécurité?
“Les travailleurs à domicile partagent leur ordinateur avec leurs enfants pour les devoirs ou pour jouer: ce sont autant de failles potentielles!”
Christophe Crous: “Les organisations négligent souvent un certain nombre d'améliorations toutes simples. Aujourd'hui, les entreprises travaillent de plus en plus avec des logiciels dans le cloud. Or, ce n'est pas parce que ces solutions proviennent de grands développeurs et de fournisseurs connus qu'elles sont forcément sûres. Les entreprises doivent configurer leur sécurité avec soin. De plus, certaines organisations mettent en place de bonnes technologies de sécurité mais les configurent mal ou ne les activent que partiellement. Ou bien les travailleurs à domicile partagent leur ordinateur avec leurs enfants pour les devoirs ou pour jouer. Ce sont autant de failles potentielles!”
Les entreprises peuvent externaliser entièrement l'optimisation et l'actualisation de leur cybersécurité. L'avantage? Elles ont toujours accès aux systèmes et solutions les plus récents, régulièrement mis à jour et qui évitent donc, en principe, le piège de l’obsolescence. “Selon la taille de l'entreprise, il existe plusieurs options sur mesure”, avance Christophe Crous, Head of Security & Service Intelligence chez Proximus.