Votre entreprise est-elle prête à contrer la prochaine cyberattaque ? Vous trouverez la réponse dans le Belgian Cyber Security Guide, une initiative de la FEB en collaboration avec EY et Microsoft. Le guide détaille dix principes-clés et autant d’actions de sécurité indispensables que nous présentons ici. Faitesen bon usage car chaque année, un million d’ordinateurs belges sont exposés à la cybercriminalité, à des virus ou à des logiciels malveillants.
Les données constituent un actif important et précieux. Toute entreprise travaillant avec des données est confrontée tôt ou tard à des incidents de sécurité. La question n’est pas si, mais quand. Car les nombreux incidents dont font état les médias ne sont que la pointe de l’iceberg. Dans la plupart des cas, nous ne sommes même pas conscients de ces menaces. Et nous n’avons que très rarement la réaction adéquate.
Risques accrus
La récente étude " Global Information Security Survey " d’EY révèle une nette recrudescence des incidents de sécurité. En cause : une présence accrue en ligne, une utilisation plus étendue des médias sociaux, l’adoption massive des appareils mobiles, la consommation croissante de services cloud et la collecte et l’analyse de big data. En matière de sécurité informatique, le risque peut être considéré comme la multiplication de trois facteurs : les actifs, les points faibles et les menaces. Pour le résumer en une seule formule : " Les actifs sont exposés aux vulnérabilités, qui peuvent être exposées à des menaces. "
1. Actifs Les informations et les systèmes informatiques sont des actifs précieux de chaque entreprise. Nous n’avons jamais disposé de telles quantités de données et nous sommes totalement à la merci du fonctionnement correct et sûr des systèmes qui enregistrent et traitent ces données.
2. Vulnérabilités Les entreprises sont inondées de nouveaux outils et de nouvelles technologies, comme le cloud, les médias sociaux et les applications mobiles. Cette évolution est appelée à se poursuivre et notre dépendance à leur bon fonctionnement va augmenter à l’avenant. Ce qui créée de nouvelles vulnérabilités.
3. Menaces Simultanément, le nombre de cybermenaces augmente à un rythme effréné. Des menaces qui sont de plus de plus en plus raffinées et efficaces.
Prise de conscience
De nombreuses entreprises protègent soigneusement leurs actifs physiques – usines, parc de machines, personnel – mais sont aux abonnés absents lorsqu’il s’agit de préserver leurs informations. Pourtant, les connaissances et les données constituent souvent les actifs les plus précieux d’une entreprise. Le vol, la perte, l’abus, mais aussi la modification ou la publication non autorisée d’informations peut avoir des conséquences catastrophiques, à la fois sur le plan financier et au niveau de votre réputation. En matière de données personnelles, la loi prévoit des sanctions pénales. De plus, un règlement européen sur la protection des données est en préparation. Il contraindra les entreprises à verser des dédommagements substantiels aux personnes dont les données personnelles ont été utilisées à mauvais escient.
Heureusement, les entreprises ont pris conscience de l’importance de la protection de l’information ces dernières années. Des initiatives ont surtout été prises au niveau des gouvernements et des institutions. Les grandes entreprises internationales ont mis en oeuvre une série d’initiatives en matière de protection des données. Malheureusement, elles sont rarement soutenues par la direction.
Du côté des PME, le thème est encore bien moins souvent sur la table, alors que les risques encourus sont identiques. Les chefs d’entreprise ne doivent pas être des experts en sécurité. Ils ont le devoir de protéger les actifs de leur entreprise. Ils doivent veiller à une délégation correcte des responsabilités entre leurs équipes de management et des experts externes. Ceuxci doivent veiller à ce que la cybersécurité soit régulièrement placée à l’ordre du jour des comités de direction, et à ce que les mesures nécessaires soient prises pour protéger l’information. Trois objectifs de sécurité sont alors prioritaires : Confidentialité : qui voit les données ? Intégrité : les données sont-elles fiables ? Accessibilité : les données sont-elles disponibles lorsqu’elles sont nécessaires ?
Dix principes-clés en matière de sécurité
1. Dépassez le seul aspect technologique.
2. Vous conformer aux lois et réglementations ne suffit pas.
3. Transposez vos objectifs de sécurité dans une politique de sécurité.
4. Impliquez la direction.
5. Créez un rôle de sécurité visible dans votre entreprise et ancrez les responsabilités individuelles.
6. Restez attentif à l’aspect sécurité lorsque vous externalisez des activités.
7. Assurez-vous que la sécurité soit un moteur de l’innovation.
8. Lancez-vous sans cesse de nouveaux défis.
9. Faites de la sécurité une priorité à long terme.
10. Soyez préparé à réagir en cas d’incident.
Dix actions indispensables en matière de sécurité
1. Organisez des formations pour les utilisateurs ainsi que des initiatives de sensibilisation.
2. Maintenez les systèmes à jour.
3. Protégez l’information.
4. Protégez les appareils mobiles.
5. Ne donnez accès à l’information que sur une base " need-to-know ".
6. Fixez des règles de sécurité en matière d’utilisation d’internet, et appliquez-les.
7. Utilisez des mots de passe efficaces et entretenez vos systèmes de sécurité.
8. Réalisez et contrôlez les backups des données opérationnelles et des informations.
9. Luttez contre les virus et autres logiciels malveillants sous plusieurs angles.
10. Prévention, détection et action.